Alureon.AUH

Az Alureon.AUH trójai roppant módon el tud rejtőzni a fertőzött számítógépeken. A kártékony program immár a 64 bites rendszereken is képes élősködni.
 

Az Alureon trójai idén egyszer már komoly fejtörést okozott a Microsoftnak és a biztonsági cégeknek. A TDL, TLD3 és Tidserv nevekkel is illetett kártékony program ugyanis februárban az MS10-015-ös biztonsági közleményhez tartozó hibajavítások telepítése után a fertőzött számítógépek összeomlását eredményezte.Azonban februárban még kizárólag a 32 bites Windows operációs rendszerek esetében tudott problémákat okozni. A legújabb variánsa viszont már a 64 bites környezetekben is működőképes.

Az Alureon legújabb "AUH" betűjelű variánsa látszólag ugyan nem túl bonyolult, azonban a háttérben sok mindre képes. Így például egy rootkit segítségével meg tudja kerülni a Windows úgynevezett Kernel Mode Code Signing és Kernel Patch Protection (más néven PatchGuard) védelmi technikáit. Az új variáns fontos jellemezője, hogy az MBR-be (Master Boot Record) is beköltözik, így már a Windows bootolásakor képes egyes tevékenységeinek végrehajtására.

Az Alureon.AUH elsősorban kártékony weboldalak meglátogatásakor kerülhet rá a számítógépekre.


Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%UserTemp%\{átmeneti fájlnév}.tm

2. A merevlemez utolsó szektoraiba bemásolja az alábbi fájlokat:
cfg.ini
mbr
ldr16
ldr32
ldr64
drv32
drv64
cmd.dll
cmd64.dll
bckfg.tmp

Egyes állományok esetében titkosítást is alkalmaz.

3. Módosítja az MBR-t (Master Boot Record).

4. Csatlakozik előre meghatározott távoli szerverekhez.

5. Különféle rendszerinformációkat szivárogtat ki, és távoli kiszolgálókról különböző adatokat fogad.