Nem magányoskodik a Collet trójai

1
Kristóf Csaba
2008. augusztus 1., 08:32
Nyomtatás
A Collet trójai különböző kártékony fájlokkal árasztja el a számítógépeket, és bizalmas információkat szolgáltat ki azokról.

A Collet trójai 30-45 perccel azután, hogy rákerült egy számítógépre, csatlakozik egy szerverhez, majd számos kártékony fájlt tölt le. Ezek között különböző vírusok is megtalálhatók. A trójai egy windowsos szolgáltatást hoz létre, amellyel biztosítja, hogy az operációs rendszer minden egyes újraindulását követően automatikusan be tudjon töltődni.

A Collet elsősorban olyan elektronikus levelekben terjed, amelyek hírességekről (például Angelina Jolieról) készült fényképekkel kecsegtetnek. Amennyiben a felhasználó az emailekben szereplő hivatkozásokra kattint, akkor a számítógépe könnyedén megfertőződhet.

A trójai a fertőzött PC-kről különböző rendszerinformációkat tölt fel egy távoli szerverre, majd hátsó kaput nyit a számítógépeken, és várakozik a támadók parancsaira.

Amikor a Collet trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlt:
%System%\CbEvtSvc.exe

1. Létrehoz egy CbEvtSvc nevű szolgáltatást.

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKLM\SYSTEM\CurrentControlSet\Services\CbEvtSvc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Anti-Virus Update Scheduler V1.39.12R = ""
HKLM\SYSTEM\CurrentControlSet\Control\Anti-Virus Update Settings V1.39.12R

3. Interneten keresztül további kártékony állományokat tölt le.

4, Csatlakozik egy távoli szerverhez, amelyre különböző rendszerinformációkat juttat le, valamint letölt egy fájlt. Ezt az %AppData% könyvtárba menti el véletlenszerű névvel és exe kiterjesztéssel.

5. Biztonsági beállításokat módosít a Windowsban, amelyek révén képes "megkerülni" a Windows beépített tűzfalát.

6. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\ = ":*:Enabled:"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\c:\virus.exe = "c:\virus.exe:*:Enabled:virus.exe"

7. Hátsó kaput nyit a fertőzött rendszeren.

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

0 hozzászólás

Ehhez a cikkhez még nem érkezett hozzászólás.
ESET Online Vírusirtó
Céginfó hírek (x)

Kiadó
Partnereink
IDG Worldwide

© 1999-2012 IDG Hungary Médiaszolgáltató Kft. Minden jog fenntartva.