Rejtőzködik az Aobys trójai
Kristóf Csaba,
2006. december 14. -
Vírusvédelem
Hír küldése
Az Aobys trójai egy rootkit komponense révén elrejti saját magát a fertőzött számítógépeken, majd azokról különböző rendszerinformációkat gyűjt össze.
Az Aobys trójai legfőbb érdekessége, hogy egy rootkit komponenst is tartalmaz. Ennek segítségével megpróbálja saját magát a lehető legjobba elrejteni a felhasználók, illetve az antivírus szoftverek elől. A trójai célja, hogy rendszerinformációkat gyűjtsön össze a fertőzött számítógépekről, majd azokat előre meghatározott helyekre továbbítsa. Az Aobys időközönként egy Internet Explorert is elindít, amelynek segítségével fájlokat tölt le az Internetről.
Amikor az Aobys trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%Temp%\mhs.exe
%Temp%\mhs.dll
%Temp%\[RANDOM_NAME].dll
%Temp%\aoob.sys
%System%\drivers\ope005.sys
2. Leellenőrzi, hogy futnak-e a következő programok:
RAV
KAV
AVP
KAVSVC
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja az
"mhs"="%TEMP%\mhs.exe" értéket.
4. A regisztrációs adatbázisba létrehozza a következő bejegyzést:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OPE005
5. C:\boot.ini fájlt kiegészíti az alábbi bejegyzéssel:
"/noexecute="
6. Megpróbál néhány folyamatot megfertőzni.
7. Olyan ablakokat keres, amelyek címjegyzékében a "WSGAME" szó szerepel
8. Elindít egy Internet Explorert, és letölt egy fájlt.
9. Rendszerinformációkat gyűjt össze.
Amikor az Aobys trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%Temp%\mhs.exe
%Temp%\mhs.dll
%Temp%\[RANDOM_NAME].dll
%Temp%\aoob.sys
%System%\drivers\ope005.sys
2. Leellenőrzi, hogy futnak-e a következő programok:
RAV
KAV
AVP
KAVSVC
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja az
"mhs"="%TEMP%\mhs.exe" értéket.
4. A regisztrációs adatbázisba létrehozza a következő bejegyzést:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OPE005
5. C:\boot.ini fájlt kiegészíti az alábbi bejegyzéssel:
"/noexecute="
6. Megpróbál néhány folyamatot megfertőzni.
7. Olyan ablakokat keres, amelyek címjegyzékében a "WSGAME" szó szerepel
8. Elindít egy Internet Explorert, és letölt egy fájlt.
9. Rendszerinformációkat gyűjt össze.
Hozzászólások