Вирус, замаскированный под обновления Windows

Троянец Bayrob маскируется под службу Windows Update, которая пытается получить конфиденциальную информацию или открыть бэкдор на зараженных компьютерах.

В большинстве случаев троянец Bayrob пытается маскироваться под службу автоматического обновления Windows. Соответственно, он создает службу Windows Update, а затем открывает бэкдор на TCP-порту 81. Это делает уязвимые ПК уязвимыми и устанавливает на них прокси-сервер.

Троянец постоянно отслеживает посещаемые пользователем сайты и активируется при открытии сайтов eBay.

При запуске троян Bayrob выполняет следующие действия:

1. Создайте следующие файлы:
% System% \ windowsupdate.exe
% System% \ 4033ccf \ cfg

2. Создайте следующую запись в базе данных регистрации:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Запустите "Центр обновления Windows" = "C: \ WINDOWS \ system32 \ WindowsUpdate.exe"

3. Создайте службу под названием «Центр обновления Windows».

4. Создайте следующую запись в базе данных регистрации:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W indows Update

5. Измените следующие записи в базе данных регистрации:
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings "ProxyEnable" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ ZoneMap "IntranetName" = "01000000"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ ZoneMap "UNCAsIntranet" = "01000000"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ ZoneMap "ProxyBypass" = "01000000"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ Connections

6. Создайте следующий файл:
Data \ Mozilla \ Firefox \ Profiles \ [текущий профиль] \ user.js

7. Откройте бэкдор через TCP-порт 80 и создайте прокси.

8. Отслеживает, когда пользователь посещает веб-сайты eBay.

9. Подключается к удаленным серверам.