A Bibei.A trójai egyik fő jellegzetessége a rejtőzködés. A kártékony program ugyanis a Windows explorer.exe folyamatát fertőzi meg, de emellett egy azonos nevű rootkit is tartozik hozzá, amelynek a feladata a trójai nyomainak elrejtése. A Bibei.A sys kiterjesztésű állományok formájában kerül fel a rendszerekre, majd a Windows könyvtáraiba másolja be a saját fájljait. Mindezek mellett egy új szolgáltatást is létrehoz, amellyel biztosítja, hogy az operációs rendszer minden egyes betöltődésekor automatikusan el tudjon indulni.
Az Isidor Biztonsági Központ jelentése szerint a Bibei.A legfontosabb feladata más kártékony programok terjesztésében merül ki. A károkozó ugyanis képes előre meghatározott szerverekhez kapcsolódni, amelyekről látszólag JPG állományokat tölt le. A valóságban azonban ezek a fájlok nem képeket, hanem futtatható kódokat rejtenek.
Amikor a Bibei.A trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%System%/drivers/oqdnhwfb.sys
%System%/drivers/xrxzrhxj.sys
%System%/drivers/Nlyvtlry.sys
%System%/drivers/duapremn.sys
2. Beregisztrál egy Windows-os szolgáltatást az alábbiak szerint:
HKLM/SYSTEM/CurrentControlSet/Services/[véletlenszerű név]/
HKLM/SYSTEM/CurrentControlSet/Services/[véletlenszerű név]/Type="dword:00000001"
HKLM/SYSTEM/CurrentControlSet/Services/[véletlenszerű név]/Start="dword:00000001"
HKLM/SYSTEM/CurrentControlSet/Services/[véletlenszerű név]/ImagePath="%System%/drivers/[véletlenszerű név]"
3. A Windows könyvtárába bemásolja a következő állományokat:
%windir%/msvstat.dat
%windir%/KB1b3i89.dat
%windir%/mphe8qwn.dat
4. Megfertőzi az explorer.exe folyamatot.
5. Csatlakozik előre meghatározott távoli szerverekhez.
6. Interneten keresztül különböző fájlokat tölt le. Ezek .jpg kiterjesztésűek, de egy dekódolást követően futtatható állományokként válnak használhatóvá.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.