A Cosmu.A tulajdonképpen egy JavaScript alapú kód, amely első ránézésre nem jelent túlságosan nagy kockázatot a számítógépekre. Azonban a valóságban igencsak kellemetlen meglepetéseket tud okozni, ugyanis képes arra, hogy egy kártékony trójai programot juttasson fel, és telepítsen a kiszemelt rendszerekre. A Cosmu.A eközben az Internet Explorer egyik sérülékenységét is megpróbálja kihasználni annak érdekében, hogy a lehető legcsekélyebb felhasználói közreműködéssel tudja feltelepíteni a másik rosszindulatú programot.
Az Isidor Biztonsági Központ jelentéséből kiderül, hogy a Cosmu.A egy Droppr.FNZ trójai segítségével fertőz, amely egy Gamethi.FNZ nevű trójait tölt le a már amúgy is duplán fertőzött PC-kre. A végső és egyben legkockázatosabb műveleteket a Gamethi.FNZ hajtja végre. A károkozó célja, hogy a "World of Warcraft"-hoz minél több bizalmas adatot gyűjtsön össze, és szolgáltasson ki a vírusterjesztők számára.
Amikor a Cosmu.A vírus elindul, akkor az alábbi műveleteket hajtja végre:
1. Letölt egy kártékony fájlt egy előre meghatározott weboldalról.
2. Egy kártékony program számítógépre való feljuttatása érdekében megpróbálja kihasználni az Internet Explorer egyik sebezhetőségét.
3. Amennyiben sikerül letöltenie a számára kijelölt állományt, akkor azt a következők szerint menti el:
%User Profile%\Application Data\b.exe
4. A letöltött állományt elindítja, aminek következtében egy Droppr.FNZ trójai települ fel a számítógépre.
5. A trójai letölt egy Gamethi.FNZ nevű trójait, majd feltelepíti azt.
6. A Droppr.FNZ trójai eltávolítja a saját állományait a számítógépről.
7. A Gamethi.FNZ leállítja a wow.exe folyamatot (amennyiben az létezik).
8. Megpróbál "World of Warcraft"-hoz tartozó jelszavakat összegyűjteni, és kiszivárogtatni.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.