A Sinowal.WUR trójai látszólag a Facebooktól érkező elektronikus levelek révén próbálja megtéveszteni a felhasználókat, és rávenni őket, hogy kattintsanak az e-mailekben szereplő hivatkozásokra. A levél teljesen alaptalan üzenete szerint a Facebookon megváltozott a beléptetési rendszer, és ahhoz, hogy a felhasználó fiókja frissüljön, el kell látogatnia egy weboldalra. Amennyiben erre sor kerül, akkor egy véletlenszerű fájlnévvel és ZIP kiterjesztéssel ellátott fájl kerül rá a rendszerre. Ha ezt a felhasználó megnyitja, akkor a trójai azonnal elkezdi a számítógép megfertőzését.
Az Isidor Biztonsági Központ szerint a Windows könyvtárába beköltöző Sinowal.WUR legfontosabb célja, hogy rendszerinformációkat gyűjtsön össze a fertőzött PC-kről, és azokat feltöltse különböző, előre meghatározott, távoli szerverekre. A trójai elsősorban a telepített programok iránt mutat fokozott érdeklődést, és azokat igyekszik feltérképezni.
Amikor a Sinowal.WUR trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%Windows%\%System%\SDRA64.EXE
%Windows%\SDSKWA.DLL
C:\Documents and Settings\[felhasználónév]\Local Settings\Temp\BF9C_APPCOMPAT.TXT
2. A Windows könyvtárába létrehoz egy "lowsec" nevű mappát.
3. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
%path where the Trojan has been run% = 0bxoascoyzzau
HKEY_USERS\DEFAULT\Software\Microsoft\Protected Storage System Provider
HKEY_USERS\DEFAULT\Software\Microsoft\Protected Storage System Provider\S-1-5-18
HKEY_USERS\ S-1-5-18\Software\Microsoft\Protected Storage System Provider
HKEY_USERS\ S-1-5-18\Software\Microsoft\Protected Storage System Provider\S-1-5-18
HKEY_USERS\ S-1-5-19\Software\Microsoft\Protected Storage System Provider
HKEY_USERS\ S-1-5-19\Software\Microsoft\Protected Storage System Provider\S-1-5-19
4. A regisztrációs adatbázisban módosítja a következő értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon\Userinit = %sysdir%\userinit.exe,%sysdir%\sdra64.exe,
5. Rendszerinformációkat gyűjt össze.
6. Az összegyűjtött adatokat feltölti egy előre meghatározott, távoli szerverre.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.