Windows güncellemesi kılığında bir virüs

Bayrob Truva Atı, kendisini Windows Update hizmeti olarak gizler ve gizli verileri elde etmeye veya virüslü bilgisayarlarda bir arka kapı açmaya çalışır.

Çoğu durumda Bayrob Truva Atı, kendisini Windows'un otomatik güncelleme hizmeti olarak gizlemeye çalışır. Buna göre bir Windows Update hizmeti oluşturur ve ardından 81 numaralı TCP bağlantı noktasında bir arka kapı açar. Bu sayede virüslü bilgisayarları açığa çıkarır ve onlara bir proxy sunucusu yükler.

Trojan, kullanıcının ziyaret ettiği web sayfalarını sürekli olarak izler ve eBay web sayfaları açıldığında etkinleştirilir.

Bayrob Truva Atı başladığında aşağıdaki eylemleri gerçekleştirir:

1. Aşağıdaki dosyaları oluşturun:
%System%\windowsupdate.exe
%Sistem%\4033ccf\cfg

2. Kayıt veritabanında aşağıdaki girişi oluşturun:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Run”Windows Update” = “C:\WINDOWS\system32\WindowsUpdate.exe”

3. “Windows Update” adında bir hizmet oluşturur.

4. Kayıt veritabanında aşağıdaki girişi oluşturun:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Update

5. Kayıt veritabanında aşağıdaki girişleri değiştirin:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Internet Ayarları”ProxyEnable” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap”IntranetName” = “01000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\ZoneMap”UNCasIntranet” = “01000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap”ProxyBypass” = “01000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Ayarları\Bağlantılar

6. Aşağıdaki dosyayı oluşturun:
Data\Mozilla\Firefox\Profiles\[mevcut profil]\user.js

7. TCP bağlantı noktası 80 üzerinden bir arka kapı açın ve bir proxy oluşturun.

8. Kullanıcının eBay web sitelerini ne zaman ziyaret ettiğini izler.

9. Uzak sunuculara bağlanır.