Virus, preoblečen v posodobitev sistema Windows
Trojanec Bayrob se prikrije kot storitev Windows Update, ki poskuša pridobiti zaupne podatke ali odpreti stranska vrata na okuženih računalnikih.
V večini primerov se trojček Bayrob poskuša prikriti kot storitev samodejnega posodabljanja sistema Windows. V skladu s tem ustvari storitev Windows Update in nato odpre zadnjo stran na vratih TCP 81. Zaradi tega so ranljivi računalniki ranljivi in namesti proxy strežnik.
Trojanec nenehno spremlja spletna mesta, ki jih obišče uporabnik, in se aktivira, ko se odprejo spletna mesta eBay.
Ko se trojanec Bayrob zažene, izvede naslednja dejanja:
1. Ustvarite naslednje datoteke:
% System% \ windowsupdate.exe
% Sistem% \ 4033ccf \ cfg
2. V registracijski bazi ustvarite naslednji vnos:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Run "Windows Update" = "C: \ WINDOWS \ system32 \ WindowsUpdate.exe"
3. Ustvarite storitev z imenom »Windows Update«.
4. V registracijski bazi ustvarite naslednji vnos:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W indows Update
5. Spremenite naslednje vnose v registracijski bazi:
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings "ProxyEnable" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ ZoneMap "IntranetName" = "01000000"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ ZoneMap ”UNCAsIntranet” = “01000000”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ ZoneMap "ProxyBypass" = "01000000"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ Connections
6. Ustvarite naslednjo datoteko:
Data \ Mozilla \ Firefox \ Profiles \ [trenutni profil] \ user.js
7. Odprite zadnjo stran skozi vrata TCP 80 in ustvarite proxy.
8. Spremlja, kdaj uporabnik obišče spletna mesta eBay.
9. Povezuje se z oddaljenimi strežniki.