Po spuštění Trojan klesne následující soubory:
- % System% \ gb_catchme.exe
- % System% \ DevCon.exe
- SystemDrive%% \ SessionChange_ [DATUM] _ [TIME]. Log
- % System% \ gb_service.exe
- % System% \ registro_bb.reg
- % System% \ registro_driver.reg
- % System% \ registro_itau.reg
- % System% \ registro_sicredi.reg
- % System% \ snetcfg.exe
Trojan upraví následující podklíč registru:
- % System% \ drivers \ etc \ hosts
Trojan vytváří následující položky registru:
- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ auto_gas \ "Start" = "0x2"
- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ auto_gas \ "ErrorControl" = "0x0"
- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ auto_gas \ "ObjectName" = "LocalSystem"
- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ auto_gas \ "Typ" = "0x10"
- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ auto_gas \ "DisplayName" = "Auto Gas"
- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ auto_gas \ "ImagePath" = "% System% \ gb_service.exe"
- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Network \ NetCfgLockHolder \ "(Výchozí)" = "Sample netcfg Aplikace (netcfg.exe)"
Trojan shromažďuje informace z ohrožena počítače a pošle jej do vzdáleného útočníka. trojské odinstaluje takto:
- GpPlugin
- WinpkFilter řidiče
Trojan se může také přesměrovat síťovou komunikaci z bankovních webů na nebezpečný serveru, aby se krást přihlašovací údaje.
Žádné komentáře:
Okomentovat