Trojan vstřikuje svůj kód do procesu explorer.exe. Trojan se připojí na těchto místech na portu 31439: Vlastní . www [domain name] / g.phpPoznámka :. [DOMAIN NAME] je variabilní a může se změnit Trojan klesá Následující soubor: % USERPROFILE% \ Data aplikací \ Identities \ [RANDOM CLSID] \ LicenseValidator.exe Trojan vytváří následující podklíče registru:
- HKEY_CURRENT_USER \ Software \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ StartCurrId
- HKEY_CURRENT_USER \ Software \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ StartMainId
- HKEY_CURRENT_USER \ Software \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ PersistFolder
- HKEY_CURRENT_USER \ Software \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ PersistFile
- HKEY_CURRENT_USER \ Software \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ StartProcIrq
- HKEY_CURRENT_USER \ Software \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ StartMainMask
- HKEY_CURRENT_USER \ Software \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ StartCurrMask
- HKEY_CURRENT_USER\Software\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\ReserveProgram
Trojan vytvoří následující položku registru tak, že spustí při každém startu Windows:
- HKEY_CURRENT_USER \ Software \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ "LicenseValidator" = "% USERPROFILE% \ Data aplikací \ Identities \ [RANDOM CLSID] \ LicenseValidator.exe"
Trojan vytváří následující položky registru:
- HKEY_CURRENT_USER \ Software \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ "StartUrlId" = "0"
- HKEY_CURRENT_USER \ Software \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ "Procházet soubory" = "[RANDOM CLSID]"
- HKEY_CURRENT_USER \ Software \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ "Procházet složky" = "[RANDOM CLSID]"
Trojský kůň poté klesne moduly v BZIP a více xor formuláře na následujícím umístění:
% USERPROFILE% \ Data aplikací \ TeamViewer \ [RANDOM CLSID] \ [náhodné znaky] dat. Trojan může sledovat aktivitu na těchto webových prohlížečů a umožňují zachytit informace z přístupných webových stránek:
- Sol
- Chrome
- Firefox
- Internet Explorer
- Opera
- Maxthon
- Netscape Navigator
Trojan zachytí citlivé informace, například údaje o všech procesů spuštěných webových stránkách a historie prohlížení a podrobnosti přístupné stránky internetového bankovnictví, a odešle ji na těchto vzdálených míst:
- [Http://] qualitymayorista.com / swf / [ODSTRANIT]
- [Http://] klthk.cz / pgm / [ODSTRANIT]
- [Http://] www.willowbendfitnessclub.com/com/ [ODSTRANIT]
- [Http://] www.go-cube.ch/ [ODSTRANIT]
Trojan může použít falešný certifikát pro man-in-the-middle útoky na bankovních webových stránkách.
Žádné komentáře:
Okomentovat