Judit
3 °C
6 °C

Pornót igér a trójai vírus

2003.11.27. 17:38
Eltévedt, erotikus képeket tartalmazó magánlevélnek álcázva juttatták el a héten készítői számtalan címre az Andey trójai programot. A trójai adatokat gyűjt a fertőzött gépről, és szervertúlterheléses támadást indít a Kernel.org oldal ellen.
Az Andey trójai programot november 25-én fedezték fel, miután terjesztői rendkívül sok internetes címre postázták az erotikus tartalmú emailbe rejtett kártékony kódot, írta a Vírushíradó.

Adatot gyűjt

A fertőzött emailek eltévedt, erotikus képeket tartalmazó magánlevélnek látszanak, "Re[2] Mary" tárgymegjelöléssel és egy Private.zip nevű csatolt fájllal érkeznek. Ebben a Wendynaked.jpg.exe fájl található, ami maga a trójai.

Ha a programot a felhasználó lefuttatja, az Andey bemásolja magát a Windows könyvtárba Sysdeb32.exe néven - a tömörített fájl mérete 11 808 bájt -, majd létrehoz egy registry kulcsot, amely ezt követően minden rendszerindításkor lefuttatja a gépen a trójai programot.

A trójai értékes információkat gyűjt a fertőzött gépről, majd HTTP kapcsolaton keresztül továbbítja ezeket a Finance.red-host.com szerverre. Az adatok között szerepel például a felhasználó emailfiókjainak címe és jelszava, az IP-cím, de a netkapcsolat sebessége és a bekapcsolás óta eltelt idő is.

Gyanúba kever

Az Andey helyben is tárolja az információkat, a C:\temp35.txt és a \%Windir%\svc.sav fájlokban. Amennyiben a trójai új programmodulokat tölt le, azokat a C:\tmp.exe fájlba másolja és lefuttatja.

Az Andey trójai program legveszélyesebb tulajdonsága, hogy az 5555-ös TCP porton hátsó ajtót nyit, amelyen keresztül a hackerek távolról uralmuk alá hajthatják a fertőzött gépet.

A trójai emellett rendszeresen kapcsolódni próbál a Kernel.org címhez, ez a viselkedés elosztott szolgáltatás-megtagadás (DDoS) támadásra utal. Az Andeyban elrejtett hamis copyright üzenet (Written By Adrey Karimov [www.proantivirus.com]) megpróbál gyanúba keverni egy antivírus céget is.