A Collet trójai 30-45 perccel azután, hogy rákerült egy számítógépre, csatlakozik egy szerverhez, majd számos kártékony fájlt tölt le. Ezek között különböző vírusok is megtalálhatók. A trójai egy windowsos szolgáltatást hoz létre, amellyel biztosítja, hogy az operációs rendszer minden egyes újraindulását követően automatikusan be tudjon töltődni.
A Collet elsősorban olyan elektronikus levelekben terjed, amelyek hírességekről (például Angelina Jolieról) készült fényképekkel kecsegtetnek. Amennyiben a felhasználó az emailekben szereplő hivatkozásokra kattint, akkor a számítógépe könnyedén megfertőződhet.
A trójai a fertőzött PC-kről különböző rendszerinformációkat tölt fel egy távoli szerverre, majd hátsó kaput nyit a számítógépeken, és várakozik a támadók parancsaira.
Amikor a Collet trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlt:
%System%\CbEvtSvc.exe
1. Létrehoz egy CbEvtSvc nevű szolgáltatást.
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKLM\SYSTEM\CurrentControlSet\Services\CbEvtSvc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Anti-Virus Update Scheduler V1.39.12R = ""
HKLM\SYSTEM\CurrentControlSet\Control\Anti-Virus Update Settings V1.39.12R
3. Interneten keresztül további kártékony állományokat tölt le.
4, Csatlakozik egy távoli szerverhez, amelyre különböző rendszerinformációkat juttat le, valamint letölt egy fájlt. Ezt az %AppData% könyvtárba menti el véletlenszerű névvel és exe kiterjesztéssel.
5. Biztonsági beállításokat módosít a Windowsban, amelyek révén képes "megkerülni" a Windows beépített tűzfalát.
6. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\ = ":*:Enabled:"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\c:\virus.exe = "c:\virus.exe:*:Enabled:virus.exe"
7. Hátsó kaput nyit a fertőzött rendszeren.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.