Connect with us

technokrata

Állománytörlő, jelszótolvaj trójai program

Dotkom

Állománytörlő, jelszótolvaj trójai program

Teljes könyvtárakat törölhet le a merevlemezről a Berbew nevű trójai program M változata.

A trójai paraméterei

Felfedezésének ideje: 2004. november 26.
Utolsó frissítés ideje: 2004. november 29.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nincs adat
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a VEN2b nevű mutexet, így biztosítva, hogy csak egyetlen példánya töltődjék be a memóriába
– létrehoz egy 8 véletlenszerű karakterből álló file-t a System könyvtárban exe és dll kiterjesztéssel, valamint az ideiglenes állományokat tartalmazó Temp könyvtárban html kiterjesztéssel
– hozzáadja a Web Event Logger={7CFBACFF-EE01-1231-ABDD-416592E5D639} bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad Registry kulcshoz
– több bejegyzést is létrehozhat az alábbi alkulcsban: HKEY_CLASSES_ROOT/CLSID/{7CFBACFF-EE01-1231-ABDD-416592E5D639}/InProcServer32
– egy véletlenszerűen kiválasztott porton proxy-szervert nyit
– rootkit technológiával elrejti azon folyamatokat és állományokat, melyek a trójai programmal vannak kapcsolatban
– jelszavakat tulajdonít el a fertőzött számítógépről azáltal, hogy elfogja az Internet Explorerben kitöltött űrlapok adatait
– az ellopott információt egy előre meghatározott URL-re továbbítja
– átnézi a merevlemezt és minden olyan könyvtárat letöröl, melynek neve tartalmazza a system sztringet



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek