Windows frissítésnek álcázott vírus

A Bayrob trójai a Windows frissítő szolgáltatásának álcázza magát, és így próbál meg bizalmas adatokat megszerezni, illetve egy hátsó kaput nyitni a fertőzött számítógépeken.

A Bayrob trójai a legtöbb esetben a Windows automatikus frissítő szolgáltatásaként próbálja álcázni saját magát. Ennek megfelelően létrehoz egy Windows Update szolgáltatást, majd nyit egy hátsó kaput a 81-as TCP porton. Ezen keresztül kiszolgáltatottá teszi a fertőzött PC-ket, és egy proxy szervert is telepít azokra.

A trójai folyamatosan figyeli a felhasználó által meglátogatott weboldalakat, és az eBay weboldalainak megnyitásakor aktivizálódik.

Amikor a Bayrob trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%System%\windowsupdate.exe
%System%\4033ccf\cfg

2. A regisztrációs adatbázisban létrehozza az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Run”Windows Update” = “C:\WINDOWS\system32\WindowsUpdate.exe”

3. Létrehoz egy “Windows Update” nevű szolgáltatást.

4. A regisztrációs adatbázisban létrehozza az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W indows Update

5. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Internet Settings”ProxyEnable” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\ZoneMap”IntranetName” = “01000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\ZoneMap”UNCAsIntranet” = “01000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\ZoneMap”ProxyBypass” = “01000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\Connections

6. Létrehozza a következő fájlt:
Data\Mozilla\Firefox\Profiles\[aktuális profil]\user.js

7. Nyit egy hátsó kaput a 80-as TCP porton keresztül, és létrehoz egy proxy-t.

8. Figyeli, hogy a felhasználó mikor látogatja meg az eBay weboldalait.

9. Távoli szerverekhez kapcsolódik.

Olvasva: 1 513

Kiemelt

Ismét akciós a BlitzHome BH-CDW1 az okos, hordozható, asztali mosogatógép

Kiemelt

BLITZWILL BWL-FL-0001 - Mutatós állólámpa 10 ezer kedvezménnyel

Somoreal SM-OLT9 - szárnyakat adunk lámpáinknak

Mindkét BlitzWill plafonlámpa akciós a héten

Fekete Péntek alatti áron a BlitzWolf BW-SX31 vezeték nélküli mikrofon

Kiemelt

Ez valami vicc? Xiaomi önürítős robotporszívó 93 ezer forintért?

Kiemelt

XIAOMI AtuMan DUKA E2 - pénztárcabarát elektromos csavarhúzó

Xiaomi akciók az okosotthonok jegyében

Xiaomi Redmi AX5400 - még egy új WiFi 6-os router a Xiaomitól

Xiaomi Redmi AX6000 - új WiFi 6-os router a Xiaomitól

Windows frissítésnek álcázott vírus

A szerzőről

Csingacsguk

BuyBestGear

ranvee

G6.hu

Kiemelt

Ismét akciós a BlitzHome BH-CDW1 az okos, hordozható, asztali mosogatógép

Kiemelt

BLITZWILL BWL-FL-0001 - Mutatós állólámpa 10 ezer kedvezménnyel

Kiemelt

Ez valami vicc? Xiaomi önürítős robotporszívó 93 ezer forintért?

Kiemelt

XIAOMI AtuMan DUKA E2 - pénztárcabarát elektromos csavarhúzó

Windows frissítésnek álcázott vírus

A szerzőről

Kapcsolódó hozzászólások

BuyBestGear

ranvee