A Hormesu trójai valójában egy meglehetősen egyszerű számítógépes károkozó, amely egy érdekes trükkel próbálja leplezni a jelenlétét. A legfontosabb feladata, hogy egy hátsó kaput nyisson a rendszereken, majd végrehajtsa a terjesztőinek parancsait. Ehhez egy távoli szerverről tölti le a szükséges információkat, méghozzá olyan módon, hogy lehetőleg ne keltsen feltűnést. A trójai látszólag egy hagyományos, JPG-állomány révén fogadja a parancsokat, a valóságban azonban egy tikosított fájlt tölt le egy távoli kiszolgálóról. Ezt dekódolja, majd végrehajtja az abban szereplő utasításokat.
Az Isidor Biztonsági Központ jelentése szerint a Hormesu alapvetően a következő feladatok elvégzésére alkalmas:
- parancssori ablak elérhetővé tétele a támadók számára
- fájlok letöltése és futtatása
- fájlok törlése
- folyamatok kezelése
- állományok feltöltése interneten keresztül.
Amikor a Hormesu trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%windir%/linkinfo.dll
2. Létrehoz egy mutexet annak érdekében, hogy a fertőzött rendszereken csak egy példányban fusson.
4. Megfertőzi az explorer.exe folyamatot.
5. Betölti a memóriába a következő fájlok egyikét:
%windir%/ucgo.dat
%windir%/tp.dat
6. Csatlakozik egy távoli szerverhez, és egy parancsokat tartalmazó állományt tölt le. Ez a fájl titkosítottan kerül a számítógépekre, és a feltűnés elkerülése végett .jpg kiterjesztéssel rendelkezik.
7. Végrehajtja azokat a parancsokat, amelyeket a terjesztői az előbbiekben beszerzett állományban meghatároztak.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.