Při spuštění Trojan, zkopíruje se do následujícího umístění:
% USERPROFILE% \ Data aplikací \ Froot \ froot.exe Trojan pak vytvoří následující položku registru tak, že spustí vždy, když se spustí systém Windows: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ "zdarma" = "% USERPROFILE% \ Application Data \ Froot \ froot.exe-b" Další Trojan připojuje na vzdálené místo, které je postavené ze tří složek. První složkou je jedna z následujícího příkazu- a-kontrola (C & C) serveru domains:
- minkosoft.in
- mifkrosoft.in
- explorerie3.in
- explorerie4.in
- explorerie5.in
Další složkou je jedna z následujících adres URL na serveru C & C:
- kód / gate.php
- kráva / gate.php
- leex / gate.php
- jako / gate.php
- loc / gate.php
- mléko / gate.php
- Mozy / gate.php
- pic8/gate.php
- důvod / gate.php
- prog / gate.php
- Tron / gate.php
- win / gate.php
- zerro / gate.php
- zip.gate.php
- zuum / gate.php
Konečně, Trojan používá jednu z těchto parametrů na výše uvedenou adresu:
- gate.php? getip = getip
- gate.php? getpic = getpic
- gate.php? user =% s & uid =% s & os =% i
- gate.php? user =% s & uid =% s & os =% i
- gate.php? user =% s & uid =% s & os =% i & pin =% s
- gate.php? user =% s & upg = upg
Trojský kůň poté stáhne příkazy ze vzdáleného místa, které umožňují vzdálenému útočníkovi provést následující akce na ohrožena počítače:
- Odstranit soubory
- Stáhnout a zobrazit výkupné zprávu
- Stáhnout aktualizace
- Vložte PIN
Když je počítač zamknutý s výkupní obrazu, Trojan končí následující procesy:
- Msconfig.exe
- narrator.exe
- regedit.exe
- seth.exe
- taskmgr.exe
- utilman.exe
Žádné komentáře:
Okomentovat