A Hydraq.A trójai nagyon gyakran különféle kártékony programokat tartalmazó "csomagok" részeként kerül rá a számítógépekre, és elsősorban weboldalakon keresztül terjed. A károkozásához nincs másra szüksége, mint hogy a felhasználó letöltsön egy fertőzött állományt, majd azt megnyissa. Ezt követően néhány fájlt bemásol a felhasználó átmeneti könyvtárába, és egy szolgáltatás létrehozásával gondoskodik arról, hogy a Windows minden egyes újraindulásakor automatikusan be tudjon töltődni.
Az Isidor Biztonsági Központ jelentése szerint a trójai egy olyan hátsó kaput létesít, amelyen keresztül a támadók az alábbi műveleteket hajthatják végre:
- meghajtó listázása
- eseménynapló törlése
- folyamatok listázása és leállítása
- szolgáltatások listázása és leállítása
- fájlok futtatása
- adatok küldése és fogadása az Interneten keresztül.
Amikor a Hydraq.A trójai elindul, akkor az alábbi műveleteket hatja végre:
1. Létrehozza a következő állományokat:
%UserTemp%\[véletlenszerű karakterek].tmp
%UserTemp%\c_1758.nls
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\Software\Sun\1.1.2\AppleTlk = ""
HKEY_LOCAL_MACHINE\Software\Sun\1.1.2\IsoTp = ""
3. Nyit egy hátsó kaput a fertőzött rendszeren.
4. Létrehoz egy windowsos szolgáltatást.
5. Lekérdezi a regisztrációs adatbázis következő kulcsát:
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0
6. Betölti a memóriába az alábbi állományokat
VedioDriver.dll
acelpvc.dll
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.