Při spuštění Trojan, může kopírovat sebe jako následující soubory:
- % USERPROFILE% \ Data aplikací \ Engel \ updates.exe
- % USERPROFILE% \ Application Data \ aktualizace \ updates.exe
- SystemDrive%% \ Documents and Settings \ All Users \ Nabídka Start \ Programy \ Po spuštění \ updates.exe
- % USERPROFILE% \ Application Data \ Microsoft \ Windows \ Nabídka Start \ Programy \ Po spuštění \ YOUTUBE.PLAYER.exe
To pak vytvoří následující položku registru, takže to běží při každém startu Windows:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ "Engel" = "% USERPROFILE% \ Application Data \ aktualizace \ updates.exe" To pak vytváří následující položky registru:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ \ "Sdružení LowRiskFileTypes" = ". Exe"
- HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main \ "DHCP" = "[Náhodná čísla]"
Trojský kůň poté upraví Windows firewall pravidla na odstranění omezení pro přístup na Internet. Obsahuje seznam vzdálených serverů, a dotkne všech z nich, dokud nenajde server neodpovídá. Komunikace používá HTTP protokol, ale přes nestandardní port 3128. Pokud vzdálený server naslouchá, Trojan provádí požadavek POST podobná následující: [http:] / / [IP adresa]:. 3128 / + [náhodný název souboru] html Po této žádosti, hrozba se chová jako proxy server , přesměrování provozu pro vzdálený útočník. Poznámka: Společnost Symantec sledoval Trojan pomocí proxy jako anonymizér pro webmail a e-mailové komunikace. Následuje seznam serverů v současné době používaných Trojan:
- 41.223.57.76
- 95.56.135.68
- 95.211.151.172
- 93.185.70.28
- 91.215.141.145
- 91.151.159.1
- 89.28.6.113
- 89.106.237.248
- 87.69.199.246
- 87.247.15.108
- 86.126.9.9
- 85.130.98.101
- 82.228.97.240
- 82.132.65.253
- 81.10.0.18
- 80.90.168.16
- 80.241.38.165
- 79.119.16.217
- 75.64.118.62
- 71.86.180.88
- 71.46.106.234
- 70.170.64.179
- 66.190.204.39
- 61.0.33.12
- 46.100.109.158
- 41.80.249.104
- 41.78.17.190
- 41.248.214.147
- 31.29.9.119
- 24.107.164.141
- 208.163.52.115
- 207.191.247.37
- 201.210.235.147
- 200.83.186.177
- 200.115.204.247
- 2.178.243.170
- 2.177.127.115
- 2.133.66.56
- 197.221.184.54
- 197.179.34.96
- 190.73.172.7
- 190.45.133.67
- 190.39.16.252
- 190.213.199.20
- 190.213.15.230
- 190.205.21.150
- 190.162.233.169
- 190.142.242.185
- 190.120.162.3
- 190.113.194.128
- 189.196.140.12
- 189.195.3.58
- 189.194.251.254
- 187.80.5.109
- 187.80.144.202
- 186.88.240.63
- 186.42.213.213
- 186.127.42.22
- 186.127.163.237
- 178.148.128.156
- 178.127.67.17
- 178.125.154.36
- 178.123.191.233
- 178.123.156.114
- 177.100.136.231
- 146.185.30.114
- 14.99.76.57
- 14.37.80.178
- 136.145.74.58
- 132.205.165.232
- 124.123.167.78
- 123.201.139.109
- 121.169.142.139
- 117.239.64.177
- 117.239.101.66
- 117.18.215.123
- 116.43.53.6
- 114.79.60.175
- 112.202.124.187
- 78.38.149.250
- 77.245.6.90
- 210.212.170.65
- 93.116.154.250
- 81.10.0.17
- 74.115.3.63
- 98.30.152.196
- 95.65.36.51
- 95.59.228.37
Žádné komentáře:
Okomentovat