Alworo

Az Alworo trójait nem könnyű eltávolítani a fertőzött rendszerekről, ugyanis rengeteg módosítást végez, és az MBR-t sem kíméli.
 

Az Alworo trójai készítői nem bíztak semmit a véletlenre, hiszen mindent elkövettek annak érdekében, hogy a kártékony programjuk nagy biztonsággal betöltődjön. A trójai beköltözik az MBR-be (master boot record), és ezzel biztosítja, hogy még a víruskeresők elindulása előtt be tudjon töltődni a memóriába. Ennyivel azonban nem éri be, ugyanis egy Windows-os szolgáltatást is létrehoz, amely szintén minden alkalommal automatikusan elindul.

Az Alworo rengeteg módosítást végez a regisztrációs adatbázisban, amelyben bejegyzéseket hoz létre, módosít, illetve töröl. Többek között manipulálja a webböngészők (Internet Explorer, Firefox, Chrome, stb.) beállításait és a kezdőoldalakat. Emellett megváltoztatja a Windows Intézőjének fájlmegjelenítési beállításait is.

A trójai egy rendszeresen letöltött konfigurációs állomány alapján egyéb műveletek végrehajtására is alkalmas lehet.


Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%AllUsersProfile%/Documents/My Videos/Van[véletlenszerű karakterek].tmp

2. Interneten keresztül konfigurációs állományokat tölt le.

3. Létrehozza az alábbi fájlokat:
%AllUsersProfile%/Documents/My Videos/PulgFile.log
%UserProfile%/Application Data/Microsoft/Internet Explorer/Quick Launch/Internet Explorer.IE
%UserProfile%/Desktop/Internet Explorer.IE

4, A regisztrációs adatbázishoz hozzáfűzi a következő értékeket:
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/"Default_Page_URL" = "..."
HKEY_CLASSES_ROOT/IE/shell/open/command/"" = "%ProgramFiles%/Internet Explorer/IEXPLORE.EXE ..."
HKEY_CLASSES_ROOT/CLSID/{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}/shell/OpenHomePage/Command/"" = "%ProgramFiles%/Internet Explorer/IEXPLORE.EXE ...

5. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/"Alg" = "C:/Alg.exe"
HKEY_CLASSES_ROOT/JE/shell/open/command/"" = "%ProgramFiles%/Internet Explorer/IEXPLORE.EXE "
HKEY_CLASSES_ROOT/.JE/"" = "JE"
HKEY_CLASSES_ROOT/.IE/"" = "IE"
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/
Explorer/HideDesktopIcons/ClassicStartMenu/"{871C5380-42A0-1069-A2EA-08002B30309D}" = "2"
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/
Explorer/HideDesktopIcons/NewStartPanel/
"{871C5380-42A0-1069-A2EA-08002B30309D}" = "2"
HKEY_CURRENT_USER/Software/Microsoft/Windows/
CurrentVersion
/Explorer/HideDesktopIcons/ClassicStartMenu/
"{871C5380-42A0-1069-A2EA-08002B30309D}" = "2"
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/
Explorer/HideDesktopIcons/ClassicStartMenu/
"{871C5380-42A0-1069-A2EA-08002B30309D}.default" = "1"

6. Létrehoz egy hello_tt nevű Windows-os szolgáltatást.

7. A regisztrációs adatbázist kiegészíti az alább kulcsokkal:
HKEY_LOCAL_MACHINE/system/CurrentControlSet/Services/hello_tt
HKEY_LOCAL_MACHINE/system/CurrentControlSet/Enum/Root/LEGACY_HELLO_TT

8. A regisztrációs adatbázisból kitörli a következő bejegyzéseket:
HKEY_CLASSES_ROOT/CLSID/{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}/Instance/InitPropertyBag/"InitString"
HKEY_CLASSES_ROOT/CLSID/{1f4de370-d627-11d1-ba4f-00a0c91eedba}/ShellFolder/"Attribute"
HKEY_CLASSES_ROOT/CLSID/{1f4de370-d627-11d1-ba4f-00a0c91eedba}/InProcServer32/""
HKEY_CLASSES_ROOT/CLSID/{1f4de370-d627-11d1-ba4f-00a0c91eedba}/InProcServer32/"ThreadingModel"
HKEY_CLASSES_ROOT/CLSID/{1f4de370-d627-11d1-ba4f-00a0c91eedba}/DefaultIcon/""
HKEY_CLASSES_ROOT/CLSID/{1f4de370-d627-11d1-ba4f-00a0c91eedba}/""
HKEY_CLASSES_ROOT/CLSID/{1f4de370-d627-11d1-ba4f-00a0c91eedba}/"LocalizedString"
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Explorer/NameSpace/{1f4de370-d627-11d1-ba4f-00a0c91eedba}/""

9. A regisztrációs adatbázisban módosítja az alábbi értékeket:
HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePageCommand/"" = "%ProgramFiles%/Internet Explorer/IEXPLORE.EXE ...
HKEY_CLASSES_ROOT/CLSID/{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}/DefaultIcon/"" = "%ProgramFiles%/Internet Explorer/IEXPLORE.EXE"
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/"Start Page" = "..."
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/
Explorer/Advanced/"HideFileExt" = "1"
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/
Explorer/Advanced/"Hidden" = "2"
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/
Explorer/HideDesktopIcons/NewStartPanel/"{871C5380-42A0-1069-A2EA-08002B30309D}" = "2"
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion
/Explorer/HideDesktopIcons/ClassicStartMenu/"{871C5380-42A0-1069-A2EA-08002B30309D}.default" = "1"

10. Időnként felbukkanó ablakokban reklámokat jelenít meg.

11. Módosítja az alábbi böngészők kezdőoldalát:
Chrome
FireFox
Internet Explorer
Maxthon

12. Manipulálja az MBR-t (master boot record).