.hu
Főoldal Biztonságportál Videó Céginfo Karrier (ÚJ) Konferencia Apró Lapozó Letöltés Szoftverbolt
címlap CIO üzlet technológia telekom e-gov dokumentumkezelés
Hírlevél Webcast Podcast Események

Regisztráció

Get the Flash Player to see this player.
Szoftveráruház

Háttérképeket kedvelő trójai

Kristóf Csaba, 2008. június 30., 09:46 - Vírusvédelem
Computerworld címkék: trójai, féreg, vírusadatbázis
Ajánlom ismerősömnek! Nyomtatás Startlaphoz adom!

A Blusod trójai hamis üzenetekkel, és a Windows háttérképének módosításával hívja fel magára a figyelmet.

A Blusod trójai hamis üzenetekkel, és a Windows háttérképének módosításával hívja fel magára a figyelmet.

A Blusod trójai nem törekszik láthatatlan működésre. A kártékony program ugyanis megváltoztatja a Windows Asztalának háttérképét, amelyen egy bmp formátumú képet helyez el. Ezen egy üzenet olvasható, amelyben közli a felhasználóval, hogy a számítógépe egy kémprogrammal fertőződött meg, ezért telepítsen fel egy vírus- vagy kémprogramvédelmi szoftvert. A trójai arról is gondoskodik, hogy egyszerű módszerekkel ne lehessen helyreállítani az Asztalon történő módosításokat. Kikapcsolja ugyanis a Windows rendszervisszaállító szolgáltatását, valamint blokkol egyes képernyőbeállítási lehetőségeket.

A Blusod legfőbb veszélye, hogy előre meghatározott weboldalakról további kártékony programokat tölt le.

Amikor a Blusod trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%UserProfile%\Local Settings\Temp\.tt[véletlenszerű karakterek].tmp
%UserProfile%\Local Settings\Temp\.tt[véletlenszerű karakterek].tmp
%System%\system32\lph[véletlenszerű karakterek].exe
%System%\system32\blph[véletlenszerű karakterek].scr

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_CURRENT_USER\Software\Sysinternals\Bluescreen Screen Saver\"EULAAccepted" = "1"

3. Létrehozza a következő állományt, amelynek révén letiltja a Windows rendszerhelyreállító szolgáltatásait:
%UserProfile%\Local Settings\Temp\.tt[véletlenszerű karakterek].tmp.vbs

4. A Windows System32 könyvtárába bemásol egy véletlenszerű névvel és bmp kiterjesztéssel rendelkező képfájlt. Ezen a képen a következő szöveg olvasható:
"Warning!
Spyware detected on your computer!
Install an antivirus or spyware remover to clean your computer."

5. A regisztrációs adatbázis módosításával megváltoztatja az Asztal háttérképét, majd elérhetetlenné tesz egyes képernyőbeállításokat.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"lph[RANDOM CHARACTERS]" = "%System%\lph[véletlenszerű karakterek].exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier\"InstallationID" = "906b1f2d-66b5-439e-8c02-9d08858fe527"
HKEY_CURRENT_USER\Control Panel\Desktop\"ConvertedWallpaper" = "%System%\ph[véletlenszerű karakterek].bmp"
HKEY_CURRENT_USER\Control Panel\Desktop\"SCRNSAVE.EXE" = "%System%\blph[véletlenszerű karakterek].scr"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"NoDispBackgroundPage" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"NoDispScrSavPage" = "0"

6. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\"DisableSR" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sr\"Start" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sr\"ImagePath" = "*system32\DRIVERS\sr.sys*"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sr\Parameters\"FirstRun" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\"Start" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\"ImagePath" = "*system32\DRIVERS\sr.sys*"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Parameters\"FirstRun" = "0"
HKEY_CURRENT_USER\Control Panel\Colors\"Background" = "0 0 255"
HKEY_CURRENT_USER\Control Panel\Desktop\"ScreenSaveActive" = "1"
HKEY_CURRENT_USER\Control Panel\Desktop\"TileWallpaper" = "0"

7. Interneten keresztül további kártékony fájlokat tölt le.

Kapcsolódó hírek

Hozzászólások (8 db)
Hozzászólások
Tóthj Hajnalka
köszönöm a cikket, rátaláltam a gondjaim okozójára, de mondják már meg, MIT TEGYEK?!

megpróbáltam a SpyBot S&D-t, az AdWare-t, egyik sem tett vele semmit!!!

segítség!!
2008. július 2., 18:08
csunicsillag
Nálam az Avast csinált egy teljes rendszer összeomlást.Tartalék üzemmodban hagyta csak, hogy leszedjem, elment az expolerem, a férjem két poker oldala, és akad a Maxtonom is.
2008. július 3., 15:15
Lord Helmet
Sajnos nekem is sikerült bekapni eme "gyönyörûséget", de noméémusz leírása alapján sikerült megszabadulni tõle. A leírása alapján a fenti leírásban szereplõ kulcsokat/fájlokat letöröltem, és újraindítás után minden visszaállt a fertõzés elõtti állapotra. Ha a rendszerleíró adatbázis ill a feladatkezelõ esetleg nem indulna el,(nekem nem tiltotta le a trójai) akkor meg kell keresni az indító fájlokat, a rendszerleíró adatbázis esetében ez a C:\WINDOWS\regedit.exe, a feladatkezelõ pedig a C:\WINDOWS\system32\taskmgr.exe és át kell nevezni õket. Így már elindíthatók lesznek és az adatbázis szerkesztõvel a vírusleírásban szereplõ kulcsokat ki lehet törölni.
2008. augusztus 12., 12:18
Pálmai Edit
Akkor mi a helyzet ha még az átnevezés sem segít? Mivel azt irja a müvelet után, hogy a rendszergazda letiltotta....
2008. szeptember 18., 22:59
noméémusz 4
köszönöm a cikket, mert a próbléma ma nálam is felütötte a fejét, letiltotta a háttérmódosítást. de a cikk alapján rájöttem a teendõkre és a vírus okozját is sikerült letörölnöm. a teendõk, amik nálam beváltak: a reg. adatbázisban a cikkben leközölt módosításokból letörölni az említett kulcsokat, én egészen eddig letöröltem a kulcsokat: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\"DisableSR" = "0"
ami ezután volt, azokkal nem foglalkoztam már.
a c:/program files/[véletlenszerû karakterek]/[véletlenszerû karakterek].exe-t ezek után engedi letörölni, vmint az esetleges ott lévõ többi file-t is. nálam a probléma ezután megszûnt.
ha vkinek nem érthetõ a leírásom (elõfordulhat, h rosszul fogalmaztam), akkor ezen a e-mail címen elér: samuro@freemail.hu, és próbálok érthetõbben segíteni.
2008. augusztus 9., 17:30
noméémusz 3
köszönöm a cikket, mert a próbléma ma nálam is felütötte a fejét, letiltotta a háttérmódosítást. de a cikk alapján rájöttem a teendõkre és a vírus okozját is sikerült letörölnöm. a teendõk, amik nálam beváltak: a reg. adatbázisban a cikkben leközölt módosításokból letörölni az említett kulcsokat, én egészen eddig letöröltem a kulcsokat: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\"DisableSR" = "0"
ami ezután volt, azokkal nem foglalkoztam már.
a c:/program files/[véletlenszerû karakterek]/[véletlenszerû karakterek].exe-t ezek után engedi letörölni, vmint az esetleges ott lévõ többi file-t is. nálam a probléma ezután megszûnt.
ha vkinek nem érthetõ a leírásom (elõfordulhat, h rosszul fogalmaztam), akkor ezen a e-mail címen elér: samuro@freemail.hu, és próbálok érthetõbben segíteni.
2008. augusztus 9., 17:30
Károly 2
Tisztelt Kristóf Csaba,

A cikk igazán kimerítõ, köszönjuk. Egy nem elhanyagolható dolog azonban tényleg hiányzik: mit kell tenni a probléma megszüntetéséhez.
Én kb. 1 hete fertõzödtem ezzel a vírussal. Egy “Antivirus XP 2008” progi töltõdött le a gépemre, ezután jelentkezett a cikkben leírt jelenség. Egy segédprogival sikerült legyalulni az “Antivirus XP 2008”-t, de a probléma még mindig fennál.
A gép bekapcsolásakor az Avast meg is találja az elsõ pontban leírt .tt[véletlenszerû karakterek].tmp file-t, karanténba teszi de a leírt képernyõvédõ bejön stb.. szal a probléma nem oldódik meg. Már lefuttattam az egész C:\ -n az Avastot de nem talált egyebet.
A kérdés az hogy ez a Blusod hol rejtezik, ill. hogy lehetne kiírtani.

Köszönettel:
Károly
2008. július 3., 15:07
próba 1
próba
2008. július 3., 14:54





Az idei, november 19-20-i budapesti Cisco Expo három fő témakör - videó, kollaboráció és virtualizáció - körül forog majd. György Lászlót, a Cisco Magyarország megbízott ügyvezető igazgatóját többek között arról kérdeztük, hogy a jelenlegi világgazdasági helyzet miként hathat a hálózati piacra.
A Cisco Magyarország immár 11. alkalommal rendezi meg a Cisco Expót, az év legnagyobb hálózati konferenciáját és kiállítását, az iparág szakembereinek és döntéshozóinak legjelentősebb hazai szakmai fórumát.
Karrier
Középpontban az információs infrastruktúra
SUN szakértői rovat
LG Klíma, Mobil Klíma Akció -WEBÁRUHÁZ-
LG, Samsung, Hitachi klíma országos házhozszállítással. Tegye próbára árainkat. Inverteres klíma akció. LG Art Cool Árleszállítás!!!
Tetőablak akció a Velux-Shop-ban!
Velux tetőtéri ablakok, tetőtéri ablak kiegészítők (redőny, reluxa, stb) és egyéb VELUX termékek széles választékban, országos házhozszállítással!
*LOGalyze, SOPHOS, Juniper és Websense a ZURIEL-től!*
Naplóinfrastruktúra, logelemzés, hálózati határvédelem, és minden ami IT üzemeltetés egy igazi specialistától. ZURIEL - A szürke eminenciás
CégMátrix szolgáltatás- és termékkereső portál
Itt megtalálja a keresett terméket, szolgáltatást, márkát, céget - cégadatokkal: név, cím, telefon, fax, web, nyitva tartás. WAP-on is! Erdélyben:Erdélyi Céginfó
Terjessze és lapozza céges anyagait online
Alakítsa át nyomtatott termékkatalógusát, prospektusát, prezentációját... Eredetivel azonos megjelenés, szabadszavas keresés,
Google által felismerheto tartalom, aktív linkek, nyomtatás, stb.
Partnereink:
Biztonságportál.hu |
aHírek.hu |
C.Enter |
Hírkereső |
Hírstart |
TOPPON! |
WebShop Experts |
VideoSmart.hu
IT Network:
PCWorld.hu |
GameStar.hu |
WorldofWarcraft.hu |
nonstopMobil.hu |
nonstopUzlet.hu |
Sokapro.hu |
jatekozon.hu |
WCG |
HWSW |
GameKapocs
IDG Worldwide:
computerwoche.de |
computerwelt.at |
computerworld.ch |
computerworld.ro