Az Eminoc trójai legfontosabb feladata, hogy az általa megfertőzött számítógépekre szabad bejárást biztosítson a terjesztői számára. Ahhoz, hogy mindezt meg tudja valósítani, először a Windows egyik rendszerfájlját írja felül (miután abból készített egy másolatot), majd az Internet Explorert fertőzi meg. Ezzel eléri, hogy amikor a felhasználó elindítja a böngészőt, akkor a saját kódja is betöltődik.
Az Isidor Biztonsági Központ szerint az Eminoc a hálózati adatforgalom kézben tartása érdekében manipulálja a hálózati paramétereket, és megváltoztatja a DNS-szerverekhez tartozó IP-címeket. Ezt követően már szabad utat biztosít a terjesztői számára, akik távolról a következő tevékenységeket kezdeményezhetik:
- rendszerinformációk összegyűjtése
- képernyőképek készítése
- a trójai frissítése vagy eltávolítása
- a számítógép újraindítása vagy lekapcsolása.
Amikor az Eminoc trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. A %Windir%/System32/conime.exe állományból készít egy másolatot a következők szerint:
%Windir%/System32/Eminoc_bd.dll
2. A saját kódjával felülírja az alábbi fájlt:
%Windir%/System32/conime.exe
3. Megfertőzi az Internet Explorer webböngésző indítóállományát valamint folyamatát.
4. Manipulálja a DNS beállításokat.
5. Csatlakozik egy távoli szerverhez.
6. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.