Dotkom
Állománytörlő trójai terjed
A Tooso nevű trójai program H változata a rendszer komplett védelmét képes kiiktatni, kezdve a Registry bejegyzésektől, a futó process-eken át, egészen a file-ok letörléséig.
A trójai paraméterei
Felfedezésének ideje: 2005. április 16.
Utolsó frissítés ideje: 2005. április 17.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 37.920 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű
Aktiválódása esetén lezajló események
– felmásolja önmagát a System könyvtárba winshost.exe névvel
– hozzáadja a “winshost.exe” = “[System elérési útvonala]/winshost.exe” bejegyzést a következő kulcsokhoz:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
– megkísérli magát az explorer.exe utó process-ébe injektálni, ezzel rejtve el ténykedését a kíváncsi szemek elől
– megkísérli leállítani a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– hasonló cél vezérli, amikor megpróbálkozik olyan Registry kulcsok letörlésével, melyek különböző behatolásvédeli szoftverekre mutatnak; ezenfelül ezeket a szoftvereket állományszinten is képes letörölni
– leállítja a SharedAccess és a wscsvc service-eket
– megkísérli korábbi, F változatát letölteni az Internetről, ha sikerrel jár, akkor a Windows könyvtárba menti el _re_file.exe néven, és le is futtatja
– felülírja a hosts állományt, így akadályozva meg az adott számítógépet abban, hogy fel tudjon csatlakozni különböző, többnyire IT-biztonsággal foglalkozó webhelyekhez
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2005/04/18/allomanytorlo-trojai-terjed/" width="800" count="off" num="3" countmsg=""]
