Connect with us

technokrata

Trojan.PSW.Ajim_bbs – ellopott jelszavak, megváltozott böngészőbeállítások

Dotkom

Trojan.PSW.Ajim_bbs – ellopott jelszavak, megváltozott böngészőbeállítások

A nemrég megjelent trójai program elsődleges célja a rendszeren használt jelszavak és felhasználónevek megszerzése, de emellett az Internet Explorer beállításait is megváltoztatja.

A trójai program tulajdonságai

Felfedezésének ideje: 2002. szeptember 18.
Utolsó frissítés ideje: 2002. szeptember 20.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
Mérete: 198.656, 508.928, 378.368, 622.080 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: könnyű
Eltávolítása: közepes

Aktiválódásakor bekövetkező események

– a Windows könyvtárba Winupdate.exe, ezen belül pedig a System32 könyvtárba Internets.exe néven másolja fel magát
– felülírja a Windows könyvtárban található Host file-okat
– létrehozza a Set.ini állományt abban a könyvtárban, ahonnan a trójai futtatásra került, ezt a file-t átmásolja a desktopra; maga a file a következőképpen néz ki:
[set]
email=
pass=
smtp=smtp.163.com
– megkísérli megszerezni a lehetséges felhasználóneveket és jelszavakat
– minden alkalommal, amikor egy EXE, TXT file megnyitásra kerül, aktiválódik a trójai, ez pedig a következő Registry módosításnak köszönhető:
– a HKEY_LOCAL_MACHINE/Software/CLASSES/exefile/shell/open/command alapértékét megváltoztatja /Winupdate.exe %1 %* -re
– ugyanitt a /NOTEPAD.EXE %1 bejegyzést /winver.exe %windir%/NOTEPAD.EXE %1 -re módosítja
– módosítja az Internet Explorer beállításait:
Default_Page_URL http://ajim.delphibbs.com
Start Page http://ajim.delphibbs.com
CustomizeSearch http://ajim.delphibbs.com
SearchAssistant http://ajim.delphibbs.com
a HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main Registry kulcs alatt
– a Process Viewer elindítása esetén megjelenít egy kínai szöveget, amely az európai nyelvű számítógépeken így néz ki: ·¢ÏÖÒýµ¼Çø²¡¶¾£¬Çëµ½dosÏÂÃæÓÃAÅÌ£¡..; a cikk végén látható az eredeti szöveg
– megkísérli letörölni a Pview95.exe-t, ha a felhasználó futtatja azt
– e-mailt küld a program készítőjének, ami tartalmazza a megszerzett jelszavakat



Szólj hozzá!

További Dotkom

Népszerű

Technokrata a Facebookon

IoT-Magazin.hu

Kütyük

Dotkom

Műszaki-Magazin.hu

Hirdetés
Hirdetés