Fájlcserélőkön terjed az Ascesso trójai
Kristóf Csaba,
2007. szeptember 3. -
Vírusvédelem
Hír küldése
Az Ascesso trójai leggyakrabban népszerű fájlcserélő hálózatokon bukkan fel, és a rootkit technikái révén láthatatlanul próbálja megfertőzni a kiszemelt számítógépeket.
Az Ascesso meglehetősen sok rendszerszintű módosítást végez a fertőzött PC-ken. Elsősorban azért, hogy rejtve tudja folytatni kártékony tevékenységét. Így például windowsos szolgáltatások, és jól ismert folyamatok mögé próbál elrejtőzni.
A trójai legfőbb veszélye, hogy az Internetről különböző kártékony fájlokat töltöget le, amelyek egy részét a fájlcserélő szolgáltatásokhoz tartozó, megosztott könyvtárakba is bemásol.
Amikor az Ascesso trójai elindul, akkor az alábbi műveleteket hatja végre:
1. A regisztrációs adatbázis HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services kulcsának áttanulmányozásával feltérképezi a Windows szolgáltatásait. Ezek közül olyat választ ki, amely az operáció rendszer indulásakor automatikusan betöltődik, és a fertőzés időpontjában aktív.
2. A kiválasztott szolgáltatáshoz tartozó fájlokat elmenti, majd az eredeti állományokat megfertőzi. Ezt követően újraindítja a szolgáltatást. Majd helyreállítja az eredeti fájlokat, hogy észrevétlen tudjon maradni.
3. Létrehozza az alábbi fájlt:
%System%\drivers\asc3550[véletlenszerű karakterek].sys
4. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550[véletlenszerű karakterek]\"ErrorControl" = "0x0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550[véletlenszerű karakterek]\"Start" = "0x2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550[véletlenszerű karakterek]\"Tag" = "0x55"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550[véletlenszerű karakterek]\"Type" = "0x1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550[véletlenszerű karakterek]\"Group" = "SCSI miniport"
5. Rootkit technikák révén elrejti saját magát.
6. Letörli az alábbi állományt:
%System%\drivers\asc3550[véletlenszerű karakterek].sys
7. A regisztrációs adatbázisban létrehozza a következő értékeket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\"PendingFileRenameOperations" = "%SystemRoot%smsys.dat %SystemRoot%System32\drivers\asc3550[véletlenszerű karakterek].sys"
HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\WinSetup
HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\WinOpts
8. Megfertőzi a SERVICES.EXE folyamatot.
9. Interneten keresztül egy fájlt tölt le, majd futtatja azt.
10. Kártékony fájlt másol be az alábbi fájlcserélők megosztott könyvtáraiba:
Kazaa
iMesh
Morpheus.
A trójai legfőbb veszélye, hogy az Internetről különböző kártékony fájlokat töltöget le, amelyek egy részét a fájlcserélő szolgáltatásokhoz tartozó, megosztott könyvtárakba is bemásol.
Amikor az Ascesso trójai elindul, akkor az alábbi műveleteket hatja végre:
1. A regisztrációs adatbázis HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services kulcsának áttanulmányozásával feltérképezi a Windows szolgáltatásait. Ezek közül olyat választ ki, amely az operáció rendszer indulásakor automatikusan betöltődik, és a fertőzés időpontjában aktív.
2. A kiválasztott szolgáltatáshoz tartozó fájlokat elmenti, majd az eredeti állományokat megfertőzi. Ezt követően újraindítja a szolgáltatást. Majd helyreállítja az eredeti fájlokat, hogy észrevétlen tudjon maradni.
3. Létrehozza az alábbi fájlt:
%System%\drivers\asc3550[véletlenszerű karakterek].sys
4. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550[véletlenszerű karakterek]\"ErrorControl" = "0x0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550[véletlenszerű karakterek]\"Start" = "0x2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550[véletlenszerű karakterek]\"Tag" = "0x55"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550[véletlenszerű karakterek]\"Type" = "0x1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550[véletlenszerű karakterek]\"Group" = "SCSI miniport"
5. Rootkit technikák révén elrejti saját magát.
6. Letörli az alábbi állományt:
%System%\drivers\asc3550[véletlenszerű karakterek].sys
7. A regisztrációs adatbázisban létrehozza a következő értékeket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\"PendingFileRenameOperations" = "%SystemRoot%smsys.dat %SystemRoot%System32\drivers\asc3550[véletlenszerű karakterek].sys"
HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\WinSetup
HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\WinOpts
8. Megfertőzi a SERVICES.EXE folyamatot.
9. Interneten keresztül egy fájlt tölt le, majd futtatja azt.
10. Kártékony fájlt másol be az alábbi fájlcserélők megosztott könyvtáraiba:
Kazaa
iMesh
Morpheus.
Hozzászólások