Artief.EDX

Az Artief trójai egy nagyon kellemetlen meglepetéssel szolgál az általa megfertőzött számítógépek felhasználói számára.
 

Az Artief.EDX trójai alapvető feladata, hogy egy kártékony programot terjesszen minél szélesebb körben. Ehhez először egy szoftveres sebezhetőséget használ ki. A trójai a Microsoft által 2010-ben befoltozott egyik olyan biztonsági rést igyekszik a saját javára fordítani, amely Word, illetve RTF állományok révén segítheti a károkozót a célja elérésében. Amennyiben sikerül betöltenie a saját állományait, illetve egy sebezhető számítógépen megnyitnia a hozzá tartozó kártékony Word dokumentumot, akkor a Salitiy vírus egyik variánsát tudja működésre bírni.

A rendszerekre feljuttatott, majd feltelepített Sality vírus már jóval több módosítást végez a PC-ken. Így például manipulálja a regisztrációs adatbázist, valamint biztonsági szoftvereket igyekszik hatástalanítani. A legveszélyesebb jellemzője azonban az, hogy a számítógépen található összes exe, illetve scr kiterjesztésű állományt megfertőzi, és ezzel jelentős rombolást képes végezni.

A trójai elleni védekezés egyik legjobb eszköze - a naprakész víruskeresők használata mellett - a Microsoft MS10-087-es biztonsági közleményéhez tartozó hibajavítások telepítése.


Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%User Temp%/document.doc

2. A felhasználó átmeneti könyvtárába bemásol egy fájlt az alábbiak szerint:
%User Temp%/svchost.exe

3. Megkísérel kihasználni egy Microsoft Office sebezhetőséget.

4. Lefuttatja az előbbiekben létrehozott állományát, majd betölti a hozzá tartozó Word dokumentumot.

5. Egy Salitiy vírust telepít fel a számítógépre.

6. Létrehozza az alábbi állományt:
%User Temp%/svchost.exe