Arugizer.A

Az Arugizer.A trójai egy hátsó kaput nyit a fertőzött számítógépeken, és azokat teljesen kiszolgáltatottá teszi a támadásokkal szemben.
 

Az Arugizer.A trójai legtöbbször egy Energizer USB-monitorozó szoftvercsomagba férkőzik be, és ennek révén terjed. Amikor rákerül egy számítógépre, akkor bemásolja magát a Windows egyik rendszerkönyvtárába, majd gondoskodik arról, hogy az operációs rendszer minden egyes betöltődésekor el tudjon indulni. Ezt követően a regisztrációs adatbázis egyszerű módosításával eléri, hogy a Windows beépített tűzfala ne jelentsen számára akadályt a további ténykedése során.

Az Arugizer.A trójai egy olyan hátsó kaput létesít, amelyen keresztül a támadók többek között az alábbi műveleteket végezhetik el:
- fájlok létrehozása
- állományok törlése
- fájlok letöltése és futtatása
- regisztrációs adatbázis módosítása
- rendszerinformációk kinyerése.


Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%System%\Arucer.dll

2. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Arucer = "rundll32 %System%\Arucer.dll,Arucer""

3. A regisztrációs adatbázisban létrehozza az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%System%\rundll32.exe = "%System%\rundll32.exe:*:Enabled:Run a DLL as an App"

4. Nyit egy hátsó kaput a 7777-es TCP porton keresztül.

5. Várakozik a támadók parancsaira.

6. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a fertőzött számítógépen.

7. Leellenőrzi az elérhető USB-s eszközöket.