Tato hrozba byla pozorována přijít na počítači jako přílohu e-mailu, stáhnout z webové stránky ohrožena, nebo stahovat další malware. To může také používat digitální certifikát neplatný, aby se oklamat uživatele, aby si mysleli, že je legitimní soubor. Když Trojan je spuštěn, háky na následující rozhraní API systému Windows:
- ntdll.NtResumeThread
- ntdll.NtEnumerateValueKey
- ntdll.NtQuerySystemInformation
- ntdll.LdrLoadDll
- kernel32.FindFirstFileA
- kernel32.FindNextFileA
- kernel32.FindFirstFileW
- kernel32.FindNextFileW
- ws2_32.connect
Trojský kůň poté skrývá nějaký soubor s názvem dplayx.dll a dplaysvr.exe, včetně legitimní, non-škodlivé soubory, takže to není vidět na počítači ohrožena. Pokud jsou soubory na žádost operačního systému, Trojan odpoví, že soubory neexistují. také píchne se do každého procesu, který je spuštěn. To bude také připojovat k žádné nové procesy nebo knihovny, které si založili. Trojan kontroluje každou doménu, která je vyžadována. Pokud jeden z následujících adresách jsou žádáni, to přesměruje prohlížeč na jinou IP adresu:
- www.google.com
- www.bing.com
- search.yahoo.com
Hrozba může se také obrátit na následující adresy IP:
- 66.85.153.132
- 94.63.147.17
Žádné komentáře:
Okomentovat