Backdoor.Agent.B trójai
Kristóf Csaba,
2004. július 22. -
Vírusvédelem
Hír küldése
A Backdoor.Agent.B trójai a támadók számára meglehetősen sokféle művelet elvégzését teszi lehetővé a megfertőzött számítógépeken.
A Backdoor.Agent.B egy .dll kiterjesztésű fájlt telepít fel a számítógépekre. A trójai elsősorban kártékony weboldalakról töltődik le, és a Windows operációs rendszereket fertőzi meg.
Amikor a Backdoor.Agent.B elindul, akkor a következő műveleteket hajtja végre:
1. Létrehoz egy véletlenszerű fájlnévvel és .dll kiterjesztéssel rendelkező fájlt a Windows System könyvtárába.
2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
kulcsához hozzáadja a
"*"1-5 db véletlenszerű karakter" = "RUNDLL32 %System%(DLL filename).dll, StreamingDeviceSetup"
értéket.
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows
kulcsához hozzáadja az
"AppInit_DLLs"="%System%.dll" értéket.
4. Az alábbi függvényeket teszi elérhetővé más kártékony programok számára:
InstallStreamingDevice
StreamingDeviceSetup
StreamingDeviceSetup2
A Backdoor.Agent.B a megfertőzött számítógépeken többek között az alábbi műveleteket teszi elérhetővé a támadók számára:
- az Internet Explorer néhány funkciójának vezérlése
- kommunikációs objektumok használata
- információgyűjtés a fertőzött számítógépről
A trójai egyszerre akár 5 példányban is futhat, így párhuzamosan több művelet elvégzésére is lehetőséget biztosít.
Amikor a Backdoor.Agent.B elindul, akkor a következő műveleteket hajtja végre:
1. Létrehoz egy véletlenszerű fájlnévvel és .dll kiterjesztéssel rendelkező fájlt a Windows System könyvtárába.
2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
kulcsához hozzáadja a
"*"1-5 db véletlenszerű karakter" = "RUNDLL32 %System%(DLL filename).dll, StreamingDeviceSetup"
értéket.
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows
kulcsához hozzáadja az
"AppInit_DLLs"="%System%
4. Az alábbi függvényeket teszi elérhetővé más kártékony programok számára:
InstallStreamingDevice
StreamingDeviceSetup
StreamingDeviceSetup2
A Backdoor.Agent.B a megfertőzött számítógépeken többek között az alábbi műveleteket teszi elérhetővé a támadók számára:
- az Internet Explorer néhány funkciójának vezérlése
- kommunikációs objektumok használata
- információgyűjtés a fertőzött számítógépről
A trójai egyszerre akár 5 példányban is futhat, így párhuzamosan több művelet elvégzésére is lehetőséget biztosít.
Hozzászólások