Un virus deghizat în actualizare Windows

Troianul Bayrob se deghizează în serviciul Windows Update și încearcă să obțină date confidențiale sau să deschidă o ușă în spate pe computerele infectate.

În cele mai multe cazuri, troianul Bayrob încearcă să se deghizeze în serviciul de actualizare automată Windows. În consecință, creează un serviciu Windows Update și apoi deschide o ușă secundară pe portul TCP 81. Prin aceasta, expune computerele infectate și instalează un server proxy pe acestea.

Troianul monitorizează continuu paginile web vizitate de utilizator și este activat atunci când paginile web eBay sunt deschise.

Când troianul Bayrob pornește, efectuează următoarele acțiuni:

1. Creați următoarele fișiere:
%System%\windowsupdate.exe
%System%\4033ccf\cfg

2. Creați următoarea intrare în baza de date de înregistrare:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Run”Windows Update” = „C:\WINDOWS\system32\WindowsUpdate.exe”

3. Creează un serviciu numit „Windows Update”.

4. Creați următoarea intrare în baza de date de înregistrare:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Update

5. Modificați următoarele intrări în baza de date de înregistrare:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Internet Settings”ProxyEnable” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\ZoneMap”IntranetName” = “01000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\ZoneMap”UNCasIntranet” = “01000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\ZoneMap”ProxyBypass” = “01000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections

6. Creați următorul fișier:
Data\Mozilla\Firefox\Profiles\[profilul curent]\user.js

7. Deschideți o ușă din spate prin portul TCP 80 și creați un proxy.

8. Monitorizează când utilizatorul vizitează site-urile eBay.

9. Se conectează la servere la distanță.