A Spyeye trójai számos, kémprogramoknál megszokott funkcióval rendelkezik. Így például folyamatosan figyelemmel kíséri a hálózati forgalmat, valamint a webböngészőkben megadásra vagy eltárolásra kerülő adatokat. Ezeket összegyűjti, és feltölti egy előre meghatározott távoli szerverre.
Az Isidor Biztonsági Központ jelentéséből kiderül, hogy a Spyeye jelenlétére megfelelő védelmi alkalmazások nélkül meglehetősen nehéz következtetni. Ennek oka, hogy a trójai egy rootkit összetevővel is rendelkezik, amely elrejti a kártevőhöz tartozó folyamatokat, fájlokat, valamint a trójai által, a regisztrációs adatbázisban végzett módosításokat.
A Spyeye további veszélye, hogy egy hátsó kaput nyit a fertőzött rendszereken, amelyen keresztül a támadók az alábbi műveleteket végezhetik el:
- fájlok letöltése és futtatása
- billentyűleütések naplózása
- egyéb feladatok rejtett végrehajtása.
Amikor a Spyeye trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő konfigurációs állományt:
%SystemDrive%\cleansweep.exe\config.bin
A fenti fájl tulajdonképpen egy jelszóval védett ZIP állomány.
2. Létrehozza az alábbi fájlt:
%SystemDrive%\cleansweep.exe\cleansweep.exe
Ez az állomány tartalmazza a fenti konfigurációs állomány dekódolásához szükséges jelszót.
3. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"cleansweep.exe" = "%SystemDrive%\cleansweep.exe\cleansweep.exe"
4. Megfertőz néhány rendszerfolyamatot.
5. Folyamatosan monitorozza a hálózati adatforgalmat.
6. Megpróbálja megkerülni a rendszerre telepített tűzfalat.
7. Rootkit komponenseket telepít fel, és elrejti a saját bejegyzéseit, folyamatait.
8. Megpróbál bizalmas adatokat összegyűjteni a következő alkalmazásokból:
Firefox
Internet Explorer
Maxthon
9. Az összegyűjtött adatokat feltölti egy előre meghatározott távoli szerverre.
10. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.