Lopakodik a Downexec trójai
Kristóf Csaba, 2008. július 14., 05:00
- Vírusvédelem
A Downexec.B egyszerű, fájlokat töltögető trójai,ám nagyon komoly változtatásokat képes végezni a Windowsban.
A Downexec.B trójai egy rootkitet telepít a fertőzött számítógépekre, amelynek révén különböző kernelszintű komponenseket módosít. Ennek hatására képessé válik a biztonsági szoftverek hatástalanítására. A trójai megfertőzi az explorer.exe állományt is, és a mögé rejtőzve töltöget le előre meghatározott weboldalakról különböző kártékony állományokat.
A Downexec.B az MBR és a partíciós táblához tartozó adatokat is gondosan ellenőrzi. Amennyiben a lemezen lévő első partíció FAT32 vagy NTFS fájlrendszerre épül, akkor annak utolsó szektorába bemásolja a fertőzött explorer.exe állományt. Ezt követően további kártékony programokat töltöget le az Interneten keresztül. Végül egy olyan .bat kiterjesztésű állományt is létrehoz, amelynek segítségével képes saját magát eltávolítani a fertőzött rendszerből.
A trójai egyes esetekben a rendszerdátumot visszaállítja 2000-re.
Amikor a Downexec.B trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Betölti az NTOSKRNL.EXE nevű fájt.
2. Egyes esetekben a rendszerdátumot 2000-re módosítja.
3. Létrehozza a következő fájlt, amely egy rootkit komponenst tartalmaz:
C:\[véletlenszerű karakterek].dat
4. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzést:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[véletlenszerű karakterek]
5. Módosít néhány kernel drivert annak érdekében, hogy hatástalanítson egyes biztonsági szoftvereket.
6. Letörli a C:\[véletlenszerű karakterek].dat állományt.
7. Leállít néhány - többnyire biztonsági alkalmazásokhoz tartozó - folyamatot.
8. Megfertőzi az explorer.exe állományt, és ennek révén további kártékony fájlokat tölt le.
9. MBR és partíciós tábla adatok olvas be.
10. Amennyiben a merevlemez első partíciója FAT32 vagy NTFS fájlrendszerre épül, akkor annak utolsó szektorába bemásolja az explorer.exe állományt.
11. Elindítja az IEXPLORER.EXE állományt.
12. Előre meghatározott weboldalakról fájlokat tölt le a Windows Temp könyvtárába
13. Létrehozza a következő állományt:
%CurrentFolder%\delme.bat
Ennek révén képes eltávolítani saját magát a fertőzött rendszerből.
A Downexec.B az MBR és a partíciós táblához tartozó adatokat is gondosan ellenőrzi. Amennyiben a lemezen lévő első partíció FAT32 vagy NTFS fájlrendszerre épül, akkor annak utolsó szektorába bemásolja a fertőzött explorer.exe állományt. Ezt követően további kártékony programokat töltöget le az Interneten keresztül. Végül egy olyan .bat kiterjesztésű állományt is létrehoz, amelynek segítségével képes saját magát eltávolítani a fertőzött rendszerből.
A trójai egyes esetekben a rendszerdátumot visszaállítja 2000-re.
Amikor a Downexec.B trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Betölti az NTOSKRNL.EXE nevű fájt.
2. Egyes esetekben a rendszerdátumot 2000-re módosítja.
3. Létrehozza a következő fájlt, amely egy rootkit komponenst tartalmaz:
C:\[véletlenszerű karakterek].dat
4. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzést:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[véletlenszerű karakterek]
5. Módosít néhány kernel drivert annak érdekében, hogy hatástalanítson egyes biztonsági szoftvereket.
6. Letörli a C:\[véletlenszerű karakterek].dat állományt.
7. Leállít néhány - többnyire biztonsági alkalmazásokhoz tartozó - folyamatot.
8. Megfertőzi az explorer.exe állományt, és ennek révén további kártékony fájlokat tölt le.
9. MBR és partíciós tábla adatok olvas be.
10. Amennyiben a merevlemez első partíciója FAT32 vagy NTFS fájlrendszerre épül, akkor annak utolsó szektorába bemásolja az explorer.exe állományt.
11. Elindítja az IEXPLORER.EXE állományt.
12. Előre meghatározott weboldalakról fájlokat tölt le a Windows Temp könyvtárába
13. Létrehozza a következő állományt:
%CurrentFolder%\delme.bat
Ennek révén képes eltávolítani saját magát a fertőzött rendszerből.
Kapcsolódó hírek
Hozzászólások
