Kémprogram eltávolítót fertőz meg egy új vírus
Kristóf Csaba,
2006. január 16. -
Vírusvédelem
Hír küldése
Az Awax trójai a népszerű Ad-Aware kémprogram eltávolító szoftver megfertőzése révén próbálja minél jobban meggyengíteni a fertőzött számítógépek védelmét.
Az Awax trójai legfőbb veszélye, hogy egy biztonsági program mögé igyekszik elrejtőzni. A trójai ugyanis megpróbálja megfertőzni a népszerű Ad-Aware kémprogram eltávolító szoftvert, és amögé rejtőzve végrehajtani különböző kártékony műveleteket. Az Awax a regisztrációs adatbázis módosítása után konfigurációs állományokat tölt le az Internetről, amelyek alapján különböző műveleteket hajt végre. Így például fájlokat tölt le a Világhálózatról, vagy rendszerinformációkat tölt fel előre maghatározott weboldalakra.
Amikor az Awax trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. A Windows System könyvtárába létrehoz egy véletlenszerűen összeállított fájlnévvel és .dll kiterjesztéssel ellátott állományt.
2. Létrehoz két mutexet annak érdekében , hogy egyszerre csak egy példányba fusson a rendszerben.
3.Létrehozza a következő bejegyzéseket a regisztrációs adatbázisban:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer
\Browser Helper Objects\{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Winlogon\Notify\[TROJAN FILE NAME]
4. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\ShellExecuteHooks
kulcsához hozzáadja a
"{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D}" = "" értéket.
5. Leállítja a következő folyamatot (amennyiben az fut):
GCASSERVALERT.EXE
5. Megpróbálja megfertőzni az AD-AWARE.EXE folyamatot.
6. Előre meghatározott weboldalakról különböző konfigurációs információkat tölt le.
7. Egyes esetekben fájlokat tölt le az Internetről, majd azokat lefuttatja.
Amikor az Awax trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. A Windows System könyvtárába létrehoz egy véletlenszerűen összeállított fájlnévvel és .dll kiterjesztéssel ellátott állományt.
2. Létrehoz két mutexet annak érdekében , hogy egyszerre csak egy példányba fusson a rendszerben.
3.Létrehozza a következő bejegyzéseket a regisztrációs adatbázisban:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer
\Browser Helper Objects\{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Winlogon\Notify\[TROJAN FILE NAME]
4. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\ShellExecuteHooks
kulcsához hozzáadja a
"{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D}" = "" értéket.
5. Leállítja a következő folyamatot (amennyiben az fut):
GCASSERVALERT.EXE
5. Megpróbálja megfertőzni az AD-AWARE.EXE folyamatot.
6. Előre meghatározott weboldalakról különböző konfigurációs információkat tölt le.
7. Egyes esetekben fájlokat tölt le az Internetről, majd azokat lefuttatja.
Hozzászólások