Ascesso.A

Az Ascesso.A trójai legfontosabb célja, hogy minél több kéretlen levelet tudjon elküldeni a fertőzött számítógépekről.
 

Az Ascesso.A trójai azon kártékony programok közé tartozik, amelyek elsősorban a spammerek tevékenységét hivatottak támogatni. A trójai ugyanis minden olyan képességgel felvértezetten kezdett terjedni, amelyek szükségesek a spammeléshez. A kártékony program távoli szerverekről frissítéseket és konfigurációs állományokat igyekszik letölteni, amelyek alapján el tudja látni a feladatát.

Az Ascesso.A nem rendelkezik saját SMTP komponenssel, ehelyett inkább jól ismert szolgáltatásokhoz tartozó (Google, Yahoo, Hotmail, stb.) kiszolgálókhoz való kapcsolódással próbál spameket nagy mennyiségben elküldeni.

A trójai további veszélye, hogy a Windows svchost.exe folyamatát fertőzi meg, így a Feladatkezelőben tulajdonképpen láthatatlan marad. De amúgy sem veri nagydobra a jelenlétét, hiszen a célja az, hogy minél tovább tudjon észrevétlenül tevékenykedni egy fertőzött rendszeren.


Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%User Profile%\secupdat.dat
%System%\secupdat.dat
%User Profile%\[véletlenszerű karakterek].exe

2. Az előbbiekben létrehozott exe kiterjesztésű állománnyal kitömöríti a secupdat.dat fájlt, majd megfertőzi az svchost.exe folyamatot.

3. Internet keresztül letölt, majd feltelepít egy drivert. Az ehhez tartozó fájl véletlenszerű névvel és sys kiterjesztéssel a %System%\Drivers mappába kerül.

4. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\[RANDOM LETTERS]\"Type" = "0x00000001"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\[RANDOM LETTERS]\"Start" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\[RANDOM LETTERS]\"ErrorControl" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\[RANDOM LETTERS]\"ImagePath" = "System32\Drivers\[...].sys"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\[RANDOM LETTERS]\"Group" = "SCSI Class"

5. Interneten keresztül konfigurációs állományokat, illetve egyéb fájlokat tölt le, amelyeket a Windows Temp könyvtárába ment le.

6. Elmenti a regisztrációs adatbázis következő kulcsát:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DeviceControl\DevData

7. A 1900-as UDP porton keresztül hálózati csomagokat küld.

8. Spamküldési célból megpróbál csatlakozni a következő kiszolgálókhoz a 25-ös porton keresztül:
mail.ru
google.com
yahoo.com
microsoft.com