A Swamiss.A trójai egyik legfontosabb jellemzője, hogy képes észrevétlenül tevékenykedni az általa megfertőzött PC-ken. Ehhez egy rootkit komponenst használ, amelynek segítségével elrejti a saját állományait, valamint azokat a bejegyzéseket, melyeket a regisztrációs adatbázisban hoz létre. Ezért a kártékony program felismeréséhez naprakészen tartott víruskereső szoftver használata szükséges.
Az Isidor Biztonsági Központ szerint a Swamiss.A igyekszik megbénítani egyes védelmi alkalmazásokat, majd egy hátsó kaput nyit a rendszereken. Távoli szerverekről konfigurációs állományokat tölt le, amelyek alapján további, ártalmas fájlokat juttat fel a számítógépekre.
Amikor a Swamiss.A trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%windir%\system32\SUCHOST.EXE
%windir%\system32\bswan.dll
%windir%\system32\sysmon.sys
2. A sysmon.sys felhasználásával elrejti a saját állományait, valamint a regisztrációs adatbázisban elvégzett módosításait.
3. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{443BCC10-CU1C-76dd-863C-BC2CC0309304}\StubPath="%rendszermeghajtó%\SUCHOST.EXE -s"
4. Leállít egyes biztonsági szoftverekhez tartozó folyamatokat és szolgáltatásokat.
5. Csatlakozik egy előre meghatározott távoli szerverhez.
6. Nyit egy hátsó kaput.
7. Rendszerinformációkat szivárogtat ki.
8. Konfigurációs adatokat tölt le.
9. Megpróbál különféle kártékony fájlokat letölteni, majd lefuttatni.
10. Egy naplóállományt hoz létre az alábbiak szerint:
c:\bslog.txt
11. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson az érintett rendszereken.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.