Aspxor.AB

Nagyon sokszor fordul elő, hogy a támadók megtévesztő módon arra próbálják rávenni a felhasználókat, hogy kattintsanak egy emailben vagy egy weboldalon szereplő hivatkozásra. Amennyiben ezt megteszik, akkor különböző kártékony kódok kerülhetnek fel a számítógépeikre. Az Aspxor.AB trójai készítői azonban nem akartak semmit a véletlenre bízni, ezért a kártékony kódjukat úgy írták meg, hogy az képes legyen automatikus átirányítások elvégzésére. A trójai weblapok kódját képes módosítani, amelyekhez egy-egy rosszindulatú scriptet fűz hozzá. Ha ez lefut egy webböngészőben, akkor egy átirányítás következtében kártékony tartalmakat vagy fájlokat tartalmazó weblapok töltődhetnek le.

Az ilyen jellegű kártékony programok, illetve scriptek ellen leginkább megfelelően frissített víruskeresők révén lehet védekezni.

Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1.Létrehoz egy "Microsoft USB Bus Controller" nevű Windowsos szolgáltatást a következők szerint:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\usbctl
DisplayName = "Microsoft USB Bus Controller"
ErrorControl = "1"
ImagePath = "%System%\usbctl.exe"
ObjectName = "LocalSystem"
Start = "2"
Type = "10"

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Sft\(Default) = "{...}"

3. Weboldalakat módosít. Ezekbe olyan scripteket helyez el, amelyek átirányításokat végeznek különböző weboldalakra. A scriptek neve lehet:
b.js
fgg.js
js.js
ngg.js
script.js
style.js

4. Létrehozza az alábbi állományokat:
%Windows%\blg_x32.txt
%Windows%\dbg_x32.txt
%Windows%\ilf_x32.log
%Windows%\nod_x32.txt
%Windows%\plf_x32.log
%Windows%\pst_x32.log
%Windows%\sff_x32.txt
%Windows%\sfg_x32.log
%Windows%\tdb_x32.log