A Whitewell trójai egy setup.exe fájl formájában terjed, amely legtöbbször a Windows Temp könyvtárából töltődik be. A trójai ugyanebbe a könyvtárba egy másik állományt is bemásol, amely tulajdonképpen a parancssori ablak megjelenítését lehetővé tevő, cmd.exe fájl másolata.
A Whitewell mindössze egy bejegyzést hoz létre a regisztrációs adatbázisban, és ezzel gondoskodik arról, hogy a Windows minden egyes betöltődésekor automatikusan el tudjon indulni. Az Isidor Biztonsági Központ jelentése szerint, amikor a trójai megkezdi a tevékenységét, akkor egy hátsó kaput nyit, majd várakozik a támadók parancsaira. Eközben pedig interneten keresztül különböző, előre meghatározott távoli szerverekhez csatlakozik.
Amikor a Whitewell trójai elindul, akkor az alábbi műveleteket hatja végre:
1. Létrehozza a következő állományt:
%Temp%\setup.exe
2. A Windows Temp könyvtárába bemásol egy fájlt az alábbiak szerint:
%Temp%\runinfo.exe
Ez az állomány a cmd.exe másolata.
3. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"MCAFEEIPS" = "%UserProfie%\local settings\temp\setup.exe"
4. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.
5. Interneten keresztül letölt egy konfigurációs állományt.
6. Interneten keresztül csatlakozik előre meghatározott távoli szerverekhez.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.