Při spuštění Trojan, vytvoří následující soubory:
- % USERPROFILE% \ Application Data \ gpresultl.exe
- % USERPROFILE% \ Application Data \ log.err
Dále Trojan vytvoří následující položku registru tak, že spustí vždy, když se spustí systém Windows:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ "gpresultl" = "C: \ Documents and Settings \ Administrator \ Data aplikací \ gpresultl.exe" Mění také následující položky registru:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ "ProxyEnable" = "ProxyEnable"
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Shell Folders \ "AppData" = "C: \ Documents and Settings \ Administrator \ Data aplikací"
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Shell Folders \ "Common AppData" = "C: \ Documents and Settings \ All Users \ Data aplikací"
. Trojan pak může aplikovat sám do několika procesů Windows Dále Trojan zaznamenává všechny stisky kláves a ukládá je v následujícím souboru: % USERPROFILE% \ Application Data \ system.lho Poté se pokusí o přístup k příkazové servery k přidávání odcizení informace:
- [Http://] dd.zeroxcode.net / jí [ODSTRANIT]
- [Http://] frk7.mine.nu/her [ODSTRANIT]
- [Http://] upload@zeroxcode.net
- [Http://] www.zeroxcode.net / jí [ODSTRANIT]
Trojský kůň poté otevře zadní dveře a umožňuje vzdálenému útočníkovi získat přístup k počítači ohrožena. Vzdálený útočník může pak proveďte jednu z následujících akcí:
- Spouštět libovolné soubory
- Spouštět příkazy
- Změnit vlastnosti systému
- Provádět distribuované denial-of-Service (DDoS) útok
- Načíst informace o stisknutí kláves
- Načíst informace o procesu
Žádné komentáře:
Okomentovat