Connect with us

technokrata

Jelszótolvaj trójai program

Dotkom

Jelszótolvaj trójai program

Hátsó ajtó nyitásával és a rendszer biztonsági szintjének csökkentésével a többi digitális kártevő előtt is megnyitja az utat a Berbew névre hallgató trójai program.

A trójai paraméterei

Felfedezésének ideje: 2005. január 24.
Utolsó frissítés ideje: 2005. január 24.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 77.918 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– létrehoz két DLL és egy EXE állományt a System mappában, véletlenszerű karakterekből összerakva a nevet, illetve .htm kiterjesztéssel az Ideiglenes állományok könyvtárában is megteszi ugyanezt
– a fenti HTML állományokat megnyitja egy rejtett Internet Explorer ablakban
– hozzáadja az InProcServer32=C:/[System elérési útvonala]/[8 véletlenszerű karakter].dll bejegyzést a HKEY_CLASSES_ROOT/CLSID/{7CFBACFF-EE01-1231-ABDD-416592E5D639} kulcshoz
– hozzáadja a Web Event Logger={7CFBACFF-EE01-1231-ABDD-416592E5D639} bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad alkulcshoz
– hozzáadja az MGR=[véletlenszerű string] bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/IE4 kulcshoz, ezt használja fertőzöttség-jelzőnek
– hozzáadja a 1601=0 bejegyzést az alábbi alkulcsokhoz:
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/1
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/2
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/4
– hozzáadja a GlobalUserOffline=0 bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings Registry kulcshoz
– a fenti beállításokkal lecsökkenti az Internet Explorer biztonsági beállításainak szintjét
– egy véletlenszerűen kiválasztott portot nyit meg a fertőzött számítógépen, ami a távoli támadó számára jogosulatlan hozzáférést tesz lehetővé a rendszerhez
– keyloggert telepít és ennek révén jelszavakat szerezhet meg; az ellopott információkat aztán továbbítja alkotójának
– rootkit technológiával elrejti azokat a process-eket és file-okat, melyek a trójaival kapcsolatba hozhatók



Szólj hozzá!

További Dotkom

Népszerű

Technokrata a Facebookon

IoT-Magazin.hu

Kütyük

Dotkom

Műszaki-Magazin.hu

Hirdetés
Hirdetés