Virus yang menyamar sebagai kemas kini Windows

Trojan Bayrob menyamar sebagai perkhidmatan Kemas Kini Windows dan cuba mendapatkan data sulit atau membuka pintu belakang pada komputer yang dijangkiti.

Dalam kebanyakan kes, Trojan Bayrob cuba menyamar sebagai perkhidmatan kemas kini automatik Windows. Sehubungan itu, ia mencipta perkhidmatan Kemas Kini Windows dan kemudian membuka pintu belakang pada port TCP 81. Melalui ini, ia mendedahkan PC yang dijangkiti dan memasang pelayan proksi pada mereka.

Trojan sentiasa memantau halaman web yang dilawati oleh pengguna dan diaktifkan apabila halaman web eBay dibuka.

Apabila Trojan Bayrob bermula, ia melakukan tindakan berikut:

1. Buat fail berikut:
%System%\windowsupdate.exe
%System%\4033ccf\cfg

2. Cipta entri berikut dalam pangkalan data pendaftaran:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Run”Windows Update” = “C:\WINDOWS\system32\WindowsUpdate.exe”

3. Létrehoz egy “Windows Update” nevű szolgáltatást.

4. Cipta entri berikut dalam pangkalan data pendaftaran:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Update

5. Ubah entri berikut dalam pangkalan data pendaftaran:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Internet Settings”ProxyEnable” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\ZoneMap”IntranetName” = “01000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\ZoneMap”UNCAsIntranet” = “01000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\ZoneMap”ProxyBypass” = “01000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections

6. Buat fail berikut:
Data\Mozilla\Firefox\Profiles\[profil semasa]\user.js

7. Buka pintu belakang melalui port TCP 80 dan buat proksi.

8. Memantau apabila pengguna melawati laman web eBay.

9. Menyambung ke pelayan jauh.