Rendszerfájlnak álcázza magát az Akbot trójai

1
Kristóf Csaba
2009. november 16., 10:41
Nyomtatás
Az Akbot.A trójai révén a támadók számtalan tevékenységet hajthatnak végre a fertőzött rendszereken, és bizalmas információkhoz juthatnak hozzá.

Az Akbot.A trójai a regisztrációs adatbázis módosításával gondoskodik arról, hogy a Windows minden egyes újraindulásakor automatikusan be tudjon töltődni, de biztos, ami biztos azért egy Windowsos szolgáltatást is létrehoz. A kártékony program legfontosabb feladata, hogy egy hátsó kaput nyisson a fertőzött rendszereken, amelyeken keresztül a támadók hozzáférést nyerhetnek az érintett számítógépekhez.

Az Isidor Biztonsági Központ beszámolója szerint a támadók az alábbi műveleteket hajthatják végre a fertőzött rendszereken:
- a trójai telepítési idejének és verziójának lekérdezése
- könyvtárstruktúra lekérdezése
- IP-cím és hosztnév lekérdezése
- billentyűleütések naplózása
- Cookie-k és a Kedvencek listájának kiszivárogtatása
- az Internet Explorerben, az MSN Messengerben valamint az Outlookban elmentett jelszavak megszerzése
- fájlok le-, illetve feltöltése
- FTP és IRC parancsok végrehajtása
- a féreg másolása vagy eltávolítása.

Amikor az Akbot.A trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%AllUsersProfile%\qbothome\_qbotinj.exe
%AllUsersProfile%\qbothome\_qbotnti.exe
%AllUsersProfile%\qbothome\_qbot.dll
%Userprofile%\Start Menu\Programs\Startup\startup.bat

2. Létrehoz néhány mutexet annak érdekében, hogy csak egy példányban fusson a fertőzött rendszeren.

3. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run\[...] = "%AllUsersProfile%\qbothome\_qbotinj.exe"

4. Egyes esetekben a regisztrációs adatbázis alábbi kulcsaiban további bejegyzéseket hoz létre:
Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run
Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Runonce

5. Létrehoz egy "Windows DNS client" nevű szolgáltatást.

6. Interneten keresztül csatlakozik egy távoli szerverhez, és különböző parancsokat fogad.

7. Előre meghatározott weboldalakhoz csatlakozik annak érdekében, hogy saját maga frissítésére szolgáló állományokat tudjon letölteni. Ezek a fájlok tömörítetten kerülnek a számítógépekre.

8. Konfigurációs állományokat tölt le az Interneten keresztül.

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

0 hozzászólás

Ehhez a cikkhez még nem érkezett hozzászólás.
ESET Online Vírusirtó
Céginfó hírek (x)

Kiadó
Partnereink
IDG Worldwide

© 1999-2012 IDG Hungary Médiaszolgáltató Kft. Minden jog fenntartva.