A Sefnit.AJ trójai egy alattomosan tevékenykedő kártékony program, ugyanis úgy próbálja ártalmas weboldalakra csalni a felhasználókat, hogy közben a jelenlétére semmiféle különösebb jel nem utal. A trójai a háttérben folyamatosan figyelemmel kíséri a webes adatforgalmat, és mihelyt a felhasználó megnyit egy webes keresőt, például a Google-t, akkor azonnal aktivizálódik. A keresők által visszaadott találati eredményeket kielemzi, majd egyes esetekben megváltoztatja azokat. Ezzel eléri, hogy amikor a felhasználó gyanútlanul egy hivatkozásra kattint, akkor valójában egy ártalmas weblap töltődik be a böngészőbe.
Az Isidor Biztonsági Központ közleményéből kiderül, hogy a Sefnit.AJ ugyan a teljes adatforgalmat képes monitorozni, azonban a hivatkozásokkal történő manipulációra kizárólag az Internet Explorer valamint a Firefox esetében képes. Egyéb böngészők használata során nem tudja a webes keresők találati eredményeit módosítani.
Amikor a Sefnit.AJ trójai elindul, akkor az alábbi műveleteket hajtja végre:
1, Létrehozza a következő állományokat:
%AppData%/[véletlenszerű fájlnév]/[véletlenszerű fájlnév].dll
%Temp%/[véletlenszerű fájlnév].dll
2. Lefuttatja az alábbi parancsokat:
rundll32.exe "%AppData%/[véletlenszerű fájlnév]/[véletlenszerű fájlnév].dll",wmicfgSnap rasCommsspl
rundll32.exe "%Temp%/[véletlenszerű fájlnév].dll", wmicfgSnap AppleapiClock
3. A regisztrációs adatbázishoz hozzáadja a következő értéket:
HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/[véletlenszerű fájlnév]="rundll32.exe "[véletlenszerű fájlnév]",[véletlenszerű karakterek]"
4. Folyamatosan figyelemmel kíséri a webes keresők által visszaadott találati eredményeket.
5. Az Internet Explorer valamint a Mozilla Firefox esetében egyes találati eredményeket meghamisít.
6. Kártékony weboldalakra vezeti a felhasználót.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.