Távirányítású vírus
A Caowy.G vírust a támadók távolról vezérelhetik, és ezáltal számos kártékony tevékenységet hajthatnak végre a fertőzött rendszereken.
A Caowy.G vírus több szempontból is komoly veszélyeket tartogat. Egyrészt windowsos folyamatokat fertőz meg, másrészt rootkit komponenseket telepít a fertőzött rendszerekre. Ezek révén meglehetősen hatékonyan képes elrejtőzni. Ráadásul arról is gondoskodik, hogy a biztonsági szoftverek se akadályozzák a tevékenységében, ugyanis a védelmi alkalmazásokhoz tartozó folyamatok leállítására is képes. Ezek mellett minden .gho kiterjesztésű állományt letöröl a fertőzött PC-kről.
A Caowy.G további káros jellemzője, hogy a webes fájlokhoz (htm, php, aspx,...) egy JavaScript kódot fűz hozzá. Ezzel eléri, hogy az állományok megnyitásakor kártékony weboldal töltődjön be a böngészőkbe. A trójai ezt követően egy konfigurációs állományt tölt le. Ennek alapján a következő műveleteket tudja végrehajtani:
- hátsó kaput létesít
- folyamatokat állít le
- az Internet Explorerben weboldalakat jelenít meg.
A vírus elsősorban cserélhető meghajtókon keresztül terjed egy MSDOS.BAT nevű állomány formájában.
Amikor a Caowy.G vírus elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlt:
%Windows%\Tasks\0x01xx8p.exe
2. Megfertőzi a %System%\spoolsv.exe nevű állományt.
3. Létrehozza a követevő két fájlt:
%Windows%\Tasks\spoolsv.ext
%System%\dllcache\spoolsv.exe
4. Egy rootkit komponenst telepít.
5. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKLM\SOFTWARE\Data\Config\"[...]>" = "[...]"
6. Az alábbi kiterjesztésű állományokhoz egy JavaScript kódot fűz hozzá:
.do
.htm
.html
.shtm
.shtml
.asp
.aspx
.php
.jsp
.cgi
.xml
A JavaScript kódot egy előzőleg az Internetről letöltött konfigurációs fájlból másolja ki. A kártékony kód rosszindulatú weboldalakra irányíthatja át a felhasználók böngészőjét.
7. Minden írható meghajtó gyökér könyvtárába bemásol egy MSDOS.BAT és egy AUTORUN.INF nevű fájlt.
8. Az előzőekben letöltött konfigurációs fájl alapján hátsó kaput létesít, folyamatokat állít le vagy az Internet Explorerben weboldalakat jelenít meg.
9. Biztonsági szoftverekhez tartozó folyamatokat állít le.
10. Minden .GHO kiterjesztésű állományt letöröl.
