Rootkitet is tartalmaz a letöltögetésre specializálódott Resmu trójai

A Resmu.A trójai azon kártékony programok közé tartozik, amelyek célja, hogy további ártalmas kódokat jutassanak fel a már amúgy is fertőzött rendszerekre. Ezek a károkozók sokszor nem túl összetett felépítésűek, és akár manuálisan is viszonylag egyszerűen el lehet távolítani azokat. A Resmura ez csak félig igaz, ugyanis önmagában a kártevő nem túl bonyolult működésű, viszont egy rootkit komponens miatt a felfedezése és az eltávolítása megfelelő védelmi alkalmazások nélkül már nehézségekbe ütközhet.

Az Isidor Biztonsági Központ jelentése szerint a Resmu.A egy  hozzá tartozó rootkit révén igyekszik elrejteni a saját komponenseit, miközben az internetről különféle állományokat tölt le. A trójai a Windows-ban egy szolgáltatást is létrehoz, amellyel biztosítja, hogy az operációs rendszer minden egyes betöltődésekor automatikusan el tudjon indulni.

Amikor a Resmu.A trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%System%\drivers\srenum.sys
 
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKLM\SYSTEM\CurrentControlSet\Services\srenum\ImagePath="%System%\drivers\srenum.sys"

Ezzel biztosítja, hogy a Windows minden egyes újraindulásakor automatikusan be tudjon töltődni.

3. Létrehozza a következő fájlokat:
%windir%\inf\oem4.inf
%windir%\inf\oem4.PNF
%windir%\inf\oem5.inf
%windir%\inf\oem5.PNF
%aktuális könyvtár%\ndisrd.sys
%aktuális könyvtár%\ndisrd.inf
%aktuális könyvtár%\ndisrd_m.inf
%aktuális könyvtár%\snetcfg.exe
%aktuális könyvtár%\drvsign.exe
 
4. Egy rootkit komponens segítségével igyekszik elrejteni a saját összetevőit.

5. Interneten keresztül távoli szerverekhez csatlakozik.

6. Különböző kártékony fájlokat tölt le.