.biztonságportál
Főoldal Biztonságportál Videó Céginfo Karrier (ÚJ) Konferencia Apró Lapozó Letöltés Szoftverbolt
címlap adatbiztonság fenyegetettségek spamszűrés vírusvédelem
Hírlevél Webcast Podcast Események

Regisztráció

ESET Online Vírusirtó

Windowst rongál az Eldycow trójai

Kristóf Csaba, 2008. július 25. - Vírusvédelem
Computerworld címkék: trójai, féreg, vírusadatbázis

Hír küldése

Ajánlom ismerősömnek Nyomtatás Startlaphoz adom

Az Eldycow trójai egy olyan összetett kártékony program, amely rengeteg módosítást végez a Windowsban.

Az Eldycow trójai fertőzését követően az érintett Windows operációs rendszerek több sebből véreznek. A trójai ugyanis fájl valamint regisztrációs adatbázis szinten is rengeteg módosítást hajt végre. Ezek révén megfertőzi azokat a fájlokat, amelyek a Windows rendszerindulásakor automatikusan betöltődnek, valamint olyan windowsos komponenseket, illetve szolgáltatásokat tesz elérhetetlenné, mint például a Feladatkezelő, a regisztrációs adatbázis szerkesztője, a Vezérlőpult valamint a Windows Update.

Az Eldycow, amint rákerül egy számítógépre, akkor azon létrehoz két fájlt, majd újraindítja a rendszert. Az operációs rendszer újbóli betöltődése után megjelenít egy megtévesztő üzenetet, amelyben arról értesíti a felhasználót, hogy a számítógépén gyanús műveletek zajlanak, ezért töltsön le egy kémprogramvédelmi alkalmazást. Amennyiben a felhasználó ezt a megjelenített üzenetablakon keresztül teszi meg, akkor a PC-jére további kártékony fájlok kerülnek rá.

A trójai az Internet Explorer beállításait is felülírja, és a biztonsági beállítások mellett módosítja a kezdőoldalt valamint a keresési paramétereket.

Amikor az Eldycow trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%System%\drivers\beep.sys
%System%\dllcache\beep.sys

2. Újraindítja a számítógépet.

3. Létrehozza az alábbi állományokat:
%Windows%\medichi.exe
%Windows%\medichi2.exe
%Windows%\murka.dat
%System%\user32.dat

4. Minden olyan exe kiterjesztésű állományt megfertőz, amelyek szerepelnek a regisztrációs adatbázis következő kulcsaiban:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

5. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Medichi = "medichi.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Medichi2 = "medichi2.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs = "murka.dat"

6. Előre meghatározott folyamatokat állít le.

7, Megjelenít egy megtévesztő hibaüzenetet. Amennyiben a felhasználó a "Yes" gombra kattint, akkor a trójai további kártékony fájlokat tölt le.

8. A regisztrációs adatbázisban módosítja a következő értékeket:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\EnableBalloonTips = 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\01208 = 0x00000000
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\02500 = 0x00000003
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\11208 = 0x00000000
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\12500 = 0x00000003
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\21208 = 0x00000000
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\22500 = 0x00000003
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\31208 = 0x00000000
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\32500 = 0x00000003
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\41208 = 0x00000000
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\42500 = 0x00000003
HKLM\SOFTWARE\Classes\.shtml = "htmlfile"
HKLM\SOFTWARE\Classes\.htm = "htmlfile"
HKLM\SOFTWARE\Classes\.html = "htmlfile"
HKLM\SOFTWARE\Classes\.xht = "htmlfile"
HKLM\SOFTWARE\Classes\.xhtml = "htmlfile"

9. Módosítja az Internet Explorer kezdőoldalát és a keresési beállításokat.

10. További fájlokat tölt le egy távoli szerverről.

11. A regisztrációs adatbázis alábbiak szerinti módosításával elérhetetlenné teszi a Windows Feladatkezelőjét, a regisztrációs adatbázis szerkesztőjét, a Vezérlőpultot valamint a Windows Update szolgáltatást.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableRegistryTools = 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr = 0x00000001
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel = 0x00000001
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoWindowsUpdate = 0x0000001

 
Kapcsolódó linkek Kapcsolódó hírek

Hozzászólások

Laló 1
Szerintem ez már megvan épp nekem, vajon mi írtja ki?
2008. augusztus 6. 11:27

Karrier

Computerworld hírek

Szponzorált linkek:
Terjessze és lapozza céges anyagait online Alakítsa át nyomtatott termékkatalógusát, prospektusát, prezentációját... Eredetivel azonos megjelenés, szabadszavas keresés,
Google által felismerheto tartalom, aktív linkek, nyomtatás, stb.
CégMátrix szolgáltatás- és termékkereső portál Itt megtalálja a keresett terméket, szolgáltatást, márkát, céget - cégadatokkal: név, cím, telefon, fax, web, nyitva tartás. WAP-on is! Erdélyben:Erdélyi Céginfó
*LOGalyze, SOPHOS, Juniper és Websense a ZURIEL-től!* Naplóinfrastruktúra, logelemzés, hálózati határvédelem, és minden ami IT üzemeltetés egy igazi specialistától. ZURIEL - A szürke eminenciás
kiadó | impresszum | hirdetési ajánlatunk | adatvédelmi elveink
Partnereink: Biztonságportál.hu | aHírek.hu | Hírkereső | Hírstart | TOPPON! | C.Enter
IT Network: PCWorld.hu | GameStar.hu | WorldofWarcraft.hu | nonstopMobil.hu | WCG | HWSW.hu | GameKapocs.hu | buzz.hu
IDG Worldwide: computerwoche.de | computerwelt.at | computerworld.ch | computerworld.ro