A Spamuzle trójai számos fájlt hoz létre a fertőzött rendszereken, majd a regisztrációs adatbázist módosítja. Természetesen gondoskodik arról, hogy a Windows minden egyes újraindulásakor automatikusan be tudjon töltődni. Ehhez nemcsak a regisztrációs adatbázist módosítja, hanem a Windows néhány rendszerállományát is megfertőzi.
A Spamuzle trójai legfontosabb feladata, hogy a fertőzött rendszerekről minél több email címet valamint rendszerinformációt gyűjtsön össze. Amennyiben ez sikerül neki, akkor a megszerzett adatokat egy előre meghatározott, távoli szerverre tölti fel. A kiszolgáltatott email címek azonnal a spammerek adatbázisába kerülnek, akik kéretlen levelek küldözgetéséhez használhatják fel azokat.
Amikor a Spamuzle trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%System%\nvrsul32.dll
%System%\pla.ax
%System%\[véletlenszerű karakterek]
%System%\drivers\atmapi.sys
%System%\fre.xc
%System%\mdfg.odl
%System%\sfmrr.r
2. Módosítja az alábbi állományokat:
%System%\user32.dll
%System%\dllcache\user32.dll
3. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"hlpInit_Dlls" = "nvrsul32"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\"st" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\"mid" = "[RANDOM LETTERS]"
HKEY_LOCAL_MACHINE\SOFTWARE\3\"31C2E1E4D78E6A11B88DFA803456A1FFA5" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\3\"31AC70412E939D72A9234CDEBB1AF5867B" = "[RANDOM LETTERS]"
HKEY_LOCAL_MACHINE\SOFTWARE\3\"31897356954C2CD3D41B221E3F24F99BBA" = "019b9906"
HKEY_LOCAL_MACHINE\SOFTWARE\2\"31C2E1E4D78E6A11B88DFA803456A1FFA5" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\2\"31AC70412E939D72A9234CDEBB1AF5867B" = "[RANDOM LETTERS]"
HKEY_LOCAL_MACHINE\SOFTWARE\2\"31897356954C2CD3D41B221E3F24F99BBA" = "0383e30b"
HKEY_LOCAL_MACHINE\SOFTWARE\1\"31C2E1E4D78E6A11B88DFA803456A1FFA5" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\1\"31AC70412E939D72A9234CDEBB1AF5867B" = "[RANDOM LETTERS]"
HKEY_LOCAL_MACHINE\SOFTWARE\1\"31897356954C2CD3D41B221E3F24F99BBA" = "021365da"
4. A regisztrációs adatbázisban módosítja a következő értékeket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%System%\userinit.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "%Windir%\explorer.exe"
5. Kiüríti a DNS cache-ben található bejegyzéseket:
6. Interneten keresztül távoli szerverekhez kapcsolódik.
7. Email címeket gyűjt össze.
8. Fájlokat tölt le az Interneten keresztül.
9. Feltérképezi a fertőzött számítógépre telepített alkalmazásokat.
10. Az összegyűjtött információkat feltölti egy távoli szerverre.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.