A Gampass trójai programok családjához tartozó károkozók arról híresültek el, hogy online játékokhoz tartozó felhasználóneveket és jelszavakat lopkodtak a fertőzött számítógépekről. Ettől a szokásuktól az "F" betűjelű variáns megjelenésével sem váltak meg, sőt a vírusírók még mohóbbak lettek. A Gampass.F ugyanis már nemcsak az internetes játékok kedvelőinek adatait veszélyezteti, hanem többek között a Google valamint a Yahoo egyes weboldalain megadott adatokat is igyekszik kifürkészni.
Az Isidor Biztonsági Központ jelentéséből kiderül, hogy a Gampass.F előszeretettel manipulálja a regisztrációs adatbázist, aminek során bejegyzéseket hoz létre, módosít, illetve töröl. Emellett különféle windows-os folyamatokat fertőz meg, így a Windows Feladatkezelőben nem látható. A trójai további fontos jellemzője hogy internetről képes további kártékony fájlokat, programokat feljuttatni a már amúgy is kiszolgáltatott számítógépekre.
Amikor a Gampass.F trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%System%/[véletlenszerű karakterek].exe
2. Egy véletlenszerűen kiválasztott könyvtárba bemásol egy Skt.txt nevű fájlt.
3. A regisztrációs adatbázisban módosítja a következő értéket:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/"Userinit" = "%System%/[véletlenszerű karakterek].exe"
4. A regisztrációs adatbázisból kitörli az alábbi kulcsot:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/URL/"SystemMgr"
5. A regisztrációs adatbázisban módosítja a következő bejegyzéseket:
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/"TabProcGrowth" = "0"
HKEY_CURRENT_USER/Software/Yahoo/pager/"ETS" = "0"
HKEY_LOCAL_MACHINE/SOFTWARE/KasperskyLab/protected/AVP7/profiles/Updater/"enabled" = "0"
6. Megfertőzi a következő folyamatokat (amennyiben azok léteznek):
explorer.exe
Iexplore.exe
lin.bin
maplestory.exe
arad.exe
ragexe.exe
ragurdrexe.exe
wow.exe
7. Egyes biztonsági alkalmazásokhoz tartozó fájlokat töröl.
8. Online játékokhoz tartozó felhasználóneveket és jelszavakat gyűjt össze.
9. Naplózza a Google és a Yahoo egyes weboldalain megadott adatokat.
10. Előre meghatározott távoli szerverekről kártékony programokat tölt le.
11. Az összegyűjtött adatokat interneten keresztül feltölti egy kiszolgálóra.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.