2024. április 26., péntek

Lapcsaládunk:

Gyorskeresés

Semmi sem szent..

Írta: |

[ ÚJ BEJEGYZÉS ]

A Zapchast.ET trójai olyan elektronikus levelekben terjed, amelyek egy Michael Jacksonról készült fényképet is tartalmaznak.

A Zapchast.ET trójai készítői úgy gondolták, hogy Michael Jackson egyik fényképével próbálnak a felhasználók bizalmában férkőzni. Ennek megfelelően a kártékony programjukat olyan spammelt üzenetekben helyezték el, amelyek a gyanútlan felhasználók számára meglehetősen megtévesztőek lehetnek.

A Zapchast.ET a Windows Temp könyvtárába számos új fájlt hoz létre, amelyek egyrészt a trójai saját kódjait tartalmazzák, másrészt a kártevő tevékenységének végrehajtását segítik elő. A trójai ugyanis elsősorban azzal a céllal terjed, hogy a fertőzött rendszereken egy hátsó kaput nyisson, amelyen keresztül a támadók különböző kártékony műveleteket végezhetnek.

Amikor a Zapchast.ET trójai elindul, akkor az alábbi műveleteket hajtja végre:

1.
Megjelenít egy fényképet Michael Jacksonról.
2.
Létrehozza a következő könyvtárat, és azt rejtett, illetve rendszer attribútumokkal látja el:
%Windows%\Temp\spoolsv
3.
A könyvtárba bemásolja az alábbi állományokat:
SPOOLSV.EXE
XMAS.JPG
A.REG
RUN.BAT
ALIASES.INI
CONTROL.INI
MIRC.ICO
REMOTE.INI
SERVERS.INI
USERS.INI
IDENT.TXT
FULLNAME.TXT
COM.MRC
S.MRC
4.
A %Windows%\Temp\spoolsv könyvtárban létrehozza a következő mappákat:
download
logs
sounds
5.
A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
spoolsv = C:\Windows\temp\spoolsv\spoolsv.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost\Parameters\
Application = C:\Windows\temp\spoolsv\spoolsv.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost\Parameters\
AppDirectory = C:\Windows\temp\spoolsv\spoolsv.exe
6.
Létrehoz egy Windowsos szolgáltatást, és módosítja a regisztrációs adatbázist:
HKEY_CURRENT_USER\Software\mIRC
HKEY_CURRENT_USER\Software\mIRC\Channels
HKEY_CURRENT_USER\Software\mIRC\License\@ = 5662-546732
HKEY_CURRENT_USER\Software\mIRC\LockOptions\@ = 0,4096
HKEY_CURRENT_USER\Software\mIRC\UserName\@ = WhiteHat
7.
Nyit egy hátsó kaput a fertőzött rendszereken.

Forrás: Biztonságportál

RSS: iratkozz fel!

Hozzászólások

(#1) Thunderzolee


Thunderzolee
addikt

Hát igen, gondolom a Jacko rajongók meg amúgy sem egy informatikai zsenik. :(

Javíts ki nyugodtan, ha tévedek valamiben. :)

(#2) yolan válasza Thunderzolee (#1) üzenetére


yolan
őstag

Jó, még ha a "feltaláló" nem is ismerte le a munkásságát, nem szerette a zenéjét, alapvető erkölcs azért még létezhetne :(

“A writer needs a pen, an artist needs a brush, but a filmmaker needs an army.” - Orson Welles

(#3) copin


copin
őstag

Egy kép ennyi bajt okozhat, vagy ez most hogyan működik?

(#4) yolan válasza copin (#3) üzenetére


yolan
őstag

Gondolom egy futtatást igénylő programhoz köti a fényképet, pl ha ezt a progit elindítod, láthatsz egy válogatott diavetítést a zenészről, stb. A felhasználó elindítja, megnézi a diavetítést, aminek az elindításával futtatja a programot, és ezzel elindítja a láncreakciót.

“A writer needs a pen, an artist needs a brush, but a filmmaker needs an army.” - Orson Welles

(#5) Szplöttyy


Szplöttyy
senior tag

"UserName\@ = WhiteHat"

Fehérkalaposaok pedig nem köcsögök, elvileg...

Smoke & Torque

(#6) yolan válasza Szplöttyy (#5) üzenetére


yolan
őstag

Igen, én is néztem, de ki tudja, hogy most ez jelent is valamit, vagy direkt ezt írták oda..

“A writer needs a pen, an artist needs a brush, but a filmmaker needs an army.” - Orson Welles

További hozzászólások megtekintése...

Támogatóink

Copyright © 2000-2024 PROHARDVER Informatikai Kft.