Szövegszerkesztő segítségével fertőz a Sasfis trójai

A Sasfis trójai azon kártékony programok közé sorolható, amelyek káros letöltéseket végeznek azzal a céllal, hogy további rosszindulatú kódokat tudjanak feljuttatni a kiszolgáltatott számítógépekre. Ezzel jelentősen képesek elősegíteni egyéb kártevők terjedését is.

A Sasfis érdekessége, hogy a számítógépek megfertőzéséhez egy VBA-szkriptet is használ, amelyet Wordben tud lefuttatni. Ezért amennyiben található Word alkalmazás a kiszemelt rendszeren, akkor betölti a szövegszerkesztőt, és elindítja a VBA-kódot.

Az Isidor Biztonsági Központ szerint a Sasfis a 80-as TCP-porton keresztül csatlakozik távoli szerverekhez, majd azokról tölti le a kártékony fájlokat. A trójai kezdetben egy "1.tmp" nevű fájlként jelenik meg a rendszerek Temp könyvtárában, majd később az svchost.exe nevű folyamat mögül végzi a tevékenységét, így a Feladatkezelőben nem látható.

Amikor a Sasfis trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%Temp%\1.tmp

2. A regisztrációs adatbázisban módosítja az alábbi bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Word\Security\"AccessVBOM" = "1"

3. Elindítja a Microsoft Word alkalmazását (amennyiben az megtalálható a fertőzött rendszeren), és lefuttat egy VBA scriptet.

4. Betölti egy svchost.exe fájlt, amelyet megfertőz.

5. Létrehozza a következő fájlt:
%System%\[véletlenszerű név].[véletlenszerű kiterjesztés]

6. A regisztrációs adatbázishoz hozzáfűzi az alábbi kulcsot:
HKEY_CLASSES_ROOT\idid

7. A regisztrációs adatbázisban módosítja a következő értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = " Explorer.exe rundll32.exe %System%\[RANDOMLY NAMED FILE] [5 OR 6 RANDOM CHARACTERS]"

8. Letörli azt a fájlját, amelynek révén eredetileg felkerült a rendszerre.

9. Csatlakozik egy távoli szerverhez a 80-as TCP porton keresztül.

10. Interneten keresztül további fájlokat tölt le, majd futtat.