A ZefarchRisk trójai készítői sem az Internet Explorer, sem a Firefox webböngésző felhasználóival nem akartak kivételezni, ezért a kártékony programjukat úgy írták meg, hogy az mindkét népszerű alkalmazás esetében képes legyen ellátni a feladatait. A trójai a Firefoxba különféle bővítményeket telepít, amelyek révén képes figyelni és módosítani a leggyakrabban használt webes keresők által megjelenített találatokat. Így a Google, a Yahoo, az AOL, stb. esetében is egy-egy olyan JavaScript kódot szúr be a keresési eredmények közé, amely egy előre meghatározott kártékony weboldalra mutat.
A trójai az Internet Explorerhez egy BHO objektumot regisztrál be, amely nem a weboldalak tartalmát figyeli, hanem a felhasználó által meglátogatott webhelyek címét. Amennyiben ebben különféle, előre meghatározott kifejezéseket vél felfedezni, akkor egész egyszerűen átirányítja a böngészőt különféle rosszindulatú weblapokra.
Amikor a ZefarchRisk trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlt:
%Windir%\[véletlenszerű karakterek].dll
%UserProfile%\Application Data\Mozilla\Firefox\Extensions\chrome.manifest
%UserProfile%\Application Data\Mozilla\Firefox\Extensions\install.rdf
%UserProfile%\Application Data\Mozilla\Firefox\Extensions\chrome\content\_cfg.js
%UserProfile%\Application Data\Mozilla\Firefox\Extensions\chrome\content\c.js
%UserProfile%\Application Data\Mozilla\Firefox\Extensions\chrome\content\overlay.xul
2. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[véletlenszerű karakterek]" = "rundll32.exe "%Windir%\[RANDOM CHARACTERS].dll",e"
3. Beregisztrál egy BHO objektumot az Internet Explorerhez:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[véletlenszerű CLSID]\"(Default)" = "%Windir%\[véletlenszerű karakterek].dll"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[véletlenszerű CLSID]\"(Default)" = "%Windir%\[véletlenszerű karakterek].dll"
4. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions\sample@example.net
5. A Firefox esetében folyamatosan figyelemmel kíséri a következő keresőkben végzett műveleteket:
yahoo
aol.com
live
msn
ask.com
6. A keresési eredmények közé egy JavaScript kódot fűz, amely egy előre meghatározott távoli szerverre mutat.
7. Egy Internet Explorerbe integrált BHO objektum révén monitorozza a felhasználó által megadott URL-eket, majd egyes esetekben átirányításokat végez különféle, kártékony weboldalakra.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.