Ultimele știri ⏱️Război în Ucraina Istoria zilei

VIRUSUL SAPTAMANII

adevarul

Publicat: 20.04.2004 20:21

Ultima actualizare: 10.08.2022 08:21

Keylog - Ramb Saptamana trecuta a aparut o noua amenintare la adresa utilizatorilor Internetului, un virus cu comportament de "troian" ce "fura" informatii din calculatorul victimei. Cu o marime de

Keylog - Ramb
Saptamana trecuta a aparut o noua amenintare la adresa utilizatorilor Internetului, un virus cu comportament de "troian" ce "fura" informatii din calculatorul victimei. Cu o marime de 8704 biti in forma EXE sau 5120 biti in forma DLL, virusul actioneaza prin aceste doua componente. Fisierul EXE se instaleaza in masina victimei in asa fel incat este pornit automat la startup. Componenta DLL este accesata de fisierul EXE si este inclusa in procesul explorer.exe, folosind o tehnica ce vrea sa ocoleasca protectia firewall (explorer.exe are acces in multe procese unde nu pot patrunde alte programe). Troianul contine propriul motor SMTP pentru construirea mesajelor care fura date. Fisierele ce contin virusul sunt plasate in directorul Windows\ System si au urmatoarele denumiri: SVCROOT.EXE (8,704 biti) si SVCROOT.DLL (5,120 biti). Urmatoarea cheie este adaugata in registrii Windows-ului pentru a se asigura pornirea automata a virusului: HKEY_LOCAL_ MACHINE\SOFTWARE \Microsoft\Windows\ Current Version\Run "explorer" = %SysDir%\SVCROOT.EXE. De asemenea, troianul creeaza un fisier detaliat specific pentru sesiunile de Internet Explorer. Titlul ferestrei (HTML) este legat impreuna cu fisierul din pagina ce urmeaza a fi vizionata si sunt inregistrate toate apasarile de taste din sesiune. Aceste date sunt introduse in fisierul MSNSYS32.DLL. Practic, acest fisier contine toate informatiile introduse de la tastatura in timpul accesarii Internetului, cum ar fi parole, numere de carduri de credit etc. Aceste date sunt trimise printr-un mesaj de email la creatorul virusului. Acest virus are caracteristici de "troian" si are mai multe variante. Datorita deosebirilor destul de mari in numele fisierelor create sau al cheilor introsuse sau modificate in registrii este practic imposibil de eliminat in mod manual. De aceea recomandam cu caldura folosirea unui program antivirus performant actualizat cu ultimele semnaturi de virusi. Totusi, aceasta familie are cateva caracteristici comune: * dupa instalare, foloseste calculatorul victima ca server proxy HTTP * dupa instalare, foloseste calculatorul victima ca server proxy SOCKS * notificarea de infectare este trimisa hacker-ului (via HTTP) * mai multe parole sunt cautate pe masina victima si sunt trimise sub forma de e-mail creatorului virusului. Virusul contine propriul motor SMTP pentru constructia mesajelor ce include MAPI si parole POP3. Denumirea exacta a fisierelor variaza in functie de varianta. In mod tipic vor fi instalate mai multe componente in directorul Sysytem din Windows. Spre exemplu: W32_SS.EXE (fisierul de instalare); BOOT32.SYS; C3.DLL; C3.SYS; C4.SYS; DEBUGG.DLL; P2.INI; SDMAPI.SYS; KLOGINI.DLL. Este exact ca si cand unele componente s-ar instala ca servicii utile pe masina victima. In plus, porturi neasteptate vor fi deschise pentru a executa comunicatiile. Spre exemplu: * 62462 TCP (SOCKS proxy) si * 54462 TCP (HTTP proxy).