A Cidox trójai önmagában nem végez rombolást a fertőzött számítógépeken. Ennek ellenére a jelenléte igencsak bosszantó tud lenni, főleg azért, mert az eltávolítása nehézségekbe ütközhet. A kártékony program ugyanis mindent elkövet annak érdekében, hogy még a víruskeresők és az operációs rendszer elindulása előtt bekerüljön a memóriába, és ezáltal mind a felismerését, mind a törlését komplikáltabbá tegye.
Az Isidor Biztonsági Központ közleménye szerint a Cidox egy bat és egy tmp kiterjesztésű állomány formájában terjed. Ezeket a fájlokat csak addig hagyja a kiszemelt rendszereken, amíg a boot szektort valamint az MBR-t nem manipulálta. Ezt követően már nincs szüksége az eredeti állományaira.
A Cidox egyes Windows rendszerfolyamatok valamint webböngészőkhöz tartozó folyamatok kémlelésével, és azok megfertőzésével képes további problémákat okozni.
Amikor a Cidox trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%CurrentFolder%/[véletlenszerű karakterek].bat
%Temp%/[véletlenszerű karakterek].tmp
2. Módosítja a boot szektorban található egyes bejegyzéseket (IPL-t).
3. Manipulálja az MBR-t (master boot record).
4. Eltávolítja az eredetileg létrehozott állományait. Ezt követően a saját kódját a boot szektor, illetve az MBR révén tölti be a memóriába.
5. Folyamatosan figyelemmel kíséri az alábbi folyamatok működését:
svchost.exe
iexplore.exe
firefox.exe
opera.exe
chrome.exe
6. A fenti folyamatokat megfertőzi a saját kódjával.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.