Engedelmesség jellemzi az Oficla trójait

1
Kristóf Csaba
2011. február 11., 09:02
Nyomtatás
Az Oficla.AE trójai szorgosan hajtja végre a terjesztői által kiadott parancsokat, miközben bizalmas adatokat szivárogtat ki a fertőzött számítógépekről.

Az Oficla.AE trójai egy távolról vezérelhető kártékony program, amely egy konfigurációs állomány alapján végzi el a különféle feladatait. A támadók e fájlban minden olyan műveletet meghatározhatnak, amelyeket a trójainak végre kell hajtania. A vírusterjesztőknek ez esetben elsősorban további kártékony programok PC-kre való feljuttatása a célja.

Az Isidor Biztonsági Központ jelentése szerint az Oficla.AE a Windows rendszerkönyvtárába valamint a  "Documents and Settings" mappába másolja be a saját állományait, majd ezt követően a 80-as porton keresztül folytat hálózati kommunikációt. Ennek során egy értesítőt küld a terjesztői számára, és különféle rendszerinformációk kiszivárogtatásával egy leírást ad a megfertőzött számítógép legfontosabb paramétereiről.

Amikor az Oficla.AE trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%System%\ttux.qqo
c:\documents and settings\administrator\application data\microsoft\office\vb11.pip
c:\documents and settings\administrator\application data\microsoft\office\word11.pip
c:\documents and settings\administrator\local settings\application data\microsoft\office\msodata005.dat
c:\documents and settings\administrator\local settings\application data\microsoft\office\msodatalast.dat
c:\documents and settings\administrator\local settings\temp\e.tmp

2. A regisztrációs adatbázisban módosítja az alábbi értéket:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell="explorer.exe rundll32.exe ttux.qqo uudigo"

3. Csatlakozik egy távoli szerverhez a 80-as TCP porton keresztül.

4. Értesítést küld a terjesztői számára a megfertőzött számítógép legfontosabb rendszerinformációiról.

5. Konfigurációs állományokat tölt le, amelyek alapján további kártékony műveleteket hajt végre.

8. A konfigurációs fájl alapján különböző szerverekről, különféle nevekkel ellátott állományokat tölt le, majd futtat.

6. Fogadja a terjesztői parancsait.

7. Bizalmas adatokat tölt fel előre meghatározott távoli szerverekre.

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

0 hozzászólás

Ehhez a cikkhez még nem érkezett hozzászólás.
ESET Online Vírusirtó
Céginfó hírek (x)

Kiadó
Partnereink
IDG Worldwide

© 1999-2012 IDG Hungary Médiaszolgáltató Kft. Minden jog fenntartva.