A Wupdo.A trójai azon kártékony programok közé sorolható, amelyek elektronikus levelek küldözgetésével igyekeznek végrehajtani a rajuk bízott feladatokat. A trójai az e-mailezéshez szükséges címeket levelezőkliensekből és webböngészőkből gyűjti össze. Ebből a szempontból több mint tízféle alkalmazást támogat. Így például az Outlook, az Eudora, az Incredimail, az Opera és a Safari alkalmazásokban elmentett címekhez is hozzá tud férni.
Az Isidor Biztonsági Központ közleménye szerint a Delphi-ben íródott Wupdo.A az elektronikus levelek küldéséhez több, előre meghatározott SMTP szervert használ. A levelekben hivatkozásokat vagy fertőzött csatolmányokat helyez el. Ezek révén vagy a saját állományait próbálja további számítógépekre feljuttatni, vagy egyéb károkozók terjesztésében vesz részt.
Amikor a Wupdo.A trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%System%\qtplugin.exe
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\RegistryMonitor1="%System%\qtplugin.exe"
3. A regisztrációs adtabázishoz hozzáadja a következő értéket:
HKLM\Software\Microsoft\Windows\CurrentVersion\Setup\RegistryMonitor2="94432898"
4. E-mail címeket gyűjt össze az alábbi alkalmazásokból:
Eudora
Group Mail
Incredimail
Mail.Ru agent
Microsoft Outlook
Opera
PocoMail 3
PocoMail 4
Safari
The Bat!
Vypress Auvis
5. Az összegyűjtött e-mail címekre leveleket kezd el kiküldeni. Ehhez előre meghatározott SMTP szervereket használ. Az e-mailek révén vagy saját magát vagy egyéb kártékony programokat igyekszik terjeszteni. A fertőzött küldemények látszólag hotmail.com vagy yahoo.com domaineket tartalmazó e-mail címekről érkeznek.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.