Virus, preoblečen v posodobitev sistema Windows

Trojanec Bayrob se prikrije kot storitev Windows Update, ki poskuša pridobiti zaupne podatke ali odpreti stranska vrata na okuženih računalnikih.

V večini primerov se trojček Bayrob poskuša prikriti kot storitev samodejnega posodabljanja sistema Windows. V skladu s tem ustvari storitev Windows Update in nato odpre zadnjo stran na vratih TCP 81. Zaradi tega so ranljivi računalniki ranljivi in ​​namesti proxy strežnik.

Trojanec nenehno spremlja spletna mesta, ki jih obišče uporabnik, in se aktivira, ko se odprejo spletna mesta eBay.

Ko se trojanec Bayrob zažene, izvede naslednja dejanja:

1. Ustvarite naslednje datoteke:
% System% \ windowsupdate.exe
% Sistem% \ 4033ccf \ cfg

2. V registracijski bazi ustvarite naslednji vnos:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Run "Windows Update" = "C: \ WINDOWS \ system32 \ WindowsUpdate.exe"

3. Ustvarite storitev z imenom »Windows Update«.

4. V registracijski bazi ustvarite naslednji vnos:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W indows Update

5. Spremenite naslednje vnose v registracijski bazi:
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings "ProxyEnable" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ ZoneMap "IntranetName" = "01000000"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ ZoneMap ”UNCAsIntranet” = “01000000”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ ZoneMap "ProxyBypass" = "01000000"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ Connections

6. Ustvarite naslednjo datoteko:
Data \ Mozilla \ Firefox \ Profiles \ [trenutni profil] \ user.js

7. Odprite zadnjo stran skozi vrata TCP 80 in ustvarite proxy.

8. Spremlja, kdaj uporabnik obišče spletna mesta eBay.

9. Povezuje se z oddaljenimi strežniki.