Nehezen írtható az Abwiz vírus
Kristóf Csaba,
2006. március 25. -
Vírusvédelem
Hír küldése
A bizalmas adatok megszerzésére és spamek küldözgetésére alkalmas Abwiz.F trójai a fertőzött számítógépekről csak komoly nehézségek árán távolítható el maradéktalanul.
Az Abwiz.F trójai olyan funkciókkal rendelkezik, amelyek révén bizalmas adatokat tud Interneten keresztül előre meghatározott szerverekre feltölteni. A trójai emellett a fertőzött számítógépeket kéretlen levelek küldözgetésére is felhasználhatja.
Az Abwiz.F egyik fontos tulajdonsága, hogy rootkit funkciókat is tartalmaz, amelyek révén meglehetősen nehéz eltávolítani az érintett rendszerekből. A trójai megpróbál a számítógépen futó folyamatok mögé elrejtőzni, és így elvégezni a kártékony műveleteit.
Amikor az Abwiz.F trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát a Windows System könyvtárába taskdir.exe néven. Ugyanide bemásol egy \taskdir.dll állományt is, amellyel megfertőzi a számítógépen futó folyamatokat.
2. Létrehozza az alábbi fájlt:
%System%\zlbw.dll
3. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja a
"taskdir" = "%System%\taskdir.exe" értéket.
4. Interneten keresztül információkat küld a fertőzött számítógépről
5. Internetről megpróbál különböző konfigurációs fájlokat letölteni.
6. Frissíti saját magát.
7. A regisztrációs adatbázis
HKEY_CURRENT_USER
kulcsához hozzáadja a
"ColorTable19" = "[TROJAN DATA]"
"ColorTable20" = "[TROJAN DATA]" értékeket.
8. A trójai spam relay-ként kezd el működni.
Az Abwiz.F egyik fontos tulajdonsága, hogy rootkit funkciókat is tartalmaz, amelyek révén meglehetősen nehéz eltávolítani az érintett rendszerekből. A trójai megpróbál a számítógépen futó folyamatok mögé elrejtőzni, és így elvégezni a kártékony műveleteit.
Amikor az Abwiz.F trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát a Windows System könyvtárába taskdir.exe néven. Ugyanide bemásol egy \taskdir.dll állományt is, amellyel megfertőzi a számítógépen futó folyamatokat.
2. Létrehozza az alábbi fájlt:
%System%\zlbw.dll
3. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja a
"taskdir" = "%System%\taskdir.exe" értéket.
4. Interneten keresztül információkat küld a fertőzött számítógépről
5. Internetről megpróbál különböző konfigurációs fájlokat letölteni.
6. Frissíti saját magát.
7. A regisztrációs adatbázis
HKEY_CURRENT_USER
kulcsához hozzáadja a
"ColorTable19" = "[TROJAN DATA]"
"ColorTable20" = "[TROJAN DATA]" értékeket.
8. A trójai spam relay-ként kezd el működni.
Hozzászólások