A Fakegina.B trójai ugyan az adatlopásra alkalmas kártékony programok közé sorolható, azonban - eltérően sok kémprogramtól - egyetlen területre specializálódott. Ez pedig nem más, mint a távoli asztali kapcsolatok monitorozása, megfigyelése.
Az Isidor Biztonsági Központ közleménye rávilágít arra, hogy a Fakegina.B trójai teljesen észrevétlenül tevékenykedik a háttérbe, és folyamatosan figyeli, hogy a felhasználó mikor indítja el a távoli asztali kapcsolatok létesítésére alkalmas programot. Amennyiben ez megtörténik, akkor három adatot próbál kifürkészni. Egyrészt elmenti a távoli kiszolgáló nevét vagy IP-címét, másrészt rögzíti a felhasználónevet és a jelszót. Ezáltal tulajdonképpen minden olyan információt megszerez, amelyek egy szerverhez való hozzáféréshez szükségesek.
Amikor a Fakegina.B trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%SYSTEM%/SCcEtPeropers.dll
2. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/SCcEtPeropers/DllName="SCcEtPeropers.dll"
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/SCcEtPeropers/InstallModule="dword:00000000"
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/SCcEtPeropers/Asynchronous="dword:00000001"
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/SCcEtPeropers/Startup="EventStartup"
3. Folyamatosan figyelemmel kíséri, hogy a felhasználó mikor próbál távoli asztali kapcsolatot létesíteni.
4. A SCcEtPeropers.dll állomány felhasználásával megpróbál felhasználónevekhez és jelszavakhoz hozzáférni.
5. A távoli asztali kapcsolatok esetében elmenti a távoli kiszolgáló nevét vagy IP-címét.
6. Részt vesz az összegyűjtött bizalmas adatok kiszivárogtatásában.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.