Szabad bejárást biztosít az Amitis trójai
Kristóf Csaba,
2007. január 24. -
Vírusvédelem
Hír küldése
Az Amitis.C trójai elsősorban egy hátsó kapu létrehozásával, rendszerinformációk összegyűjtésével valamint azok továbbításával okozhat biztonsági problémákat a fertőzött számítógépeken.
Az Amitis.C trójai számos fájlt hoz létre a kiszemelt számítógépeken, majd módosítja a regisztrációs adatbázist. Ezt követően nyit egy hátsó kaput a 3891-es TCP porton, amelyen keresztül a támadóknak számos kártékony művelet végrehajtására nyílik lehetőségük.
A trójai a PC-kről összegyűjti a rendszerinformációkat és ezeket az adatokat elmenti egy fájlba. Ezt követően az információkat tartalmazó állományt FTP-n keresztül feltölti egy előre meghatározott szerverre.
Amikor az Amitis.C trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%System%\MSINSCK.OCX
%System%\Rtmp.bat
%System%\Rtmp.log
%System%\Rtmp.scr
%System%\Rtemp.bat
%System%\ALMV.exe
%System%\DLMVT.exe
%System%\DLMVD.exe
%System%\DLMVX.exe
%System%\DLMVP.exe
%System%\RCS.exe
2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja az
"ALMV" = "%System%\ALMV.exe" értéket.
3. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
kulcsához hozzáadja a
"Load" = "%Windir%\MVS.exe" értéket.
4. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
kulcsához hozzáadja a
"Userinit" = "userinit.exe %Windir%\MVH.exe"
"Shell" = "explorer.exe %Windir%\MVH.exe" értékeket.
5. Nyit egy hátsó kaput a 3891-es TCP porton.
6. Rendszerinformációkat gyűjt össze a fertőzött számítógépekről, és azokat egy Rtmp.log nevű fájlban tárolja el. Ezt az állományt FTP-n keresztül feltölti egy előre meghatározott szerverre.
A trójai a PC-kről összegyűjti a rendszerinformációkat és ezeket az adatokat elmenti egy fájlba. Ezt követően az információkat tartalmazó állományt FTP-n keresztül feltölti egy előre meghatározott szerverre.
Amikor az Amitis.C trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%System%\MSINSCK.OCX
%System%\Rtmp.bat
%System%\Rtmp.log
%System%\Rtmp.scr
%System%\Rtemp.bat
%System%\ALMV.exe
%System%\DLMVT.exe
%System%\DLMVD.exe
%System%\DLMVX.exe
%System%\DLMVP.exe
%System%\RCS.exe
2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja az
"ALMV" = "%System%\ALMV.exe" értéket.
3. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
kulcsához hozzáadja a
"Load" = "%Windir%\MVS.exe" értéket.
4. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
kulcsához hozzáadja a
"Userinit" = "userinit.exe %Windir%\MVH.exe"
"Shell" = "explorer.exe %Windir%\MVH.exe" értékeket.
5. Nyit egy hátsó kaput a 3891-es TCP porton.
6. Rendszerinformációkat gyűjt össze a fertőzött számítógépekről, és azokat egy Rtmp.log nevű fájlban tárolja el. Ezt az állományt FTP-n keresztül feltölti egy előre meghatározott szerverre.
Hozzászólások