Az Alureon trójai idén egyszer már komoly fejtörést okozott a Microsoftnak és a biztonsági cégeknek. A TDL, TLD3 és Tidserv nevekkel is illetett kártékony program ugyanis februárban az MS10-015-ös biztonsági közleményhez tartozó hibajavítások telepítése után a fertőzött számítógépek összeomlását eredményezte. Azonban februárban még kizárólag a 32 bites Windows operációs rendszerek esetében tudott problémákat okozni. A legújabb variánsa viszont már a 64 bites környezetekben is működőképes.
Az Isidor Biztonsági Központ által közzétett technikai leírásból kiderül, hogy az Alureon legújabb "AUH" betűjelű variánsa látszólag ugyan nem túl bonyolult, azonban a háttérben sok mindre képes. Így például egy rootkit segítségével meg tudja kerülni a Windows úgynevezett Kernel Mode Code Signing és Kernel Patch Protection (más néven PatchGuard) védelmi technikáit. Az új variáns fontos jellemezője, hogy az MBR-be (Master Boot Record) is beköltözik, így már a Windows bootolásakor képes egyes tevékenységeinek végrehajtására.
Az Alureon.AUH elsősorban kártékony weboldalak meglátogatásakor kerülhet rá a számítógépekre.
Amikor az Alureon.AUH trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%UserTemp%\{átmeneti fájlnév}.tm
2. A merevlemez utolsó szektoraiba bemásolja az alábbi fájlokat:
cfg.ini
mbr
ldr16
ldr32
ldr64
drv32
drv64
cmd.dll
cmd64.dll
bckfg.tmp
Egyes állományok esetében titkosítást is alkalmaz.
3. Módosítja az MBR-t (Master Boot Record).
4. Csatlakozik előre meghatározott távoli szerverekhez.
5. Különféle rendszerinformációkat szivárogtat ki, és távoli kiszolgálókról különböző adatokat fogad.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.