A Darkbot trójai a szolgáltatásmegtagadási támadásokra alkalmas kártékony programok közé sorolható. A számítógépes kártevőt a készítői weboldalak megbénítására készítették fel, és ennek megfelelően ruházták fel különféle DoS-technikákkal.
Az Isidor Biztonsági Központ jelentése szerint a Darkbot a fertőzött számítógépekről először egy távoli szerverhez kapcsolódik, melynek során egy URL paramétereként átadja a számítógép egyedi azonosítóját valamint a saját verziószámát. A kiszolgálótól pedig egy olyan választ kap, amely a célkeresztbe állítandó weboldal címét tartalmazza. A trójai a válasz feldolgozása után azonnal megkezdi a DoS-támadást.
A Darkbot nem végez sok módosítást a fertőzött rendszereken, amelyekre egy surv86.exe nevű fájl formájában kerül fel. Ez az állomány a Windows egyik rendszerkönyvtárába kap helyet egy "'ddid" nevű könyvtárral egyetemben.
Amikor a Darkbot trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza az alábbi állományt:
%Windir%/system/surv86.exe
2. Létrehozza a következő könyvtárat:
%Windir%/system/ddid
3. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run/"Darkness" = "/"%Windir%/System/surv86.exe/""
4. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List/"%Windir%/System/surv86.exe" = "%Windir%/System/surv86.exe:*:Enabled:KL"
5. Csatlakozik egy előre meghatározott távoli szerverhez. Ehhez egy olyan URL-t használ, amely tartalmazza a fertőzött számítógép egyedi azonosítóját és a trójai verziószámát. Az egyedi azonosítót a trójai generálja.
6. A távoli kiszolgáló a válaszában annak a weboldalnak a címét küldi vissza, amely ellen a trójainak szolgáltatásmegtagadási támadást kell kezdeményeznie.
7. Elindítja a DoS-támadást.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.