Ana sınıf: TrojWare
Truva atları, kullanıcı tarafından izin verilmeyen eylemleri gerçekleştiren kötü amaçlı programlardır: veriyi siler, engeller, değiştirir veya kopyalarlar ve bilgisayarların veya bilgisayar ağlarının performansını bozarlar. Virüslerden ve solucanlardan farklı olarak, bu kategoriye giren tehditler kendi kopyalarını kopyalayamaz veya kendi kendini kopyalayamaz. Truva atları, enfekte olmuş bir bilgisayarda gerçekleştirdikleri eylem türüne göre sınıflandırılır.Sınıf: Trojan-Downloader
Trojan-Downloader olarak sınıflandırılan programlar, kurban bilgisayarlarında Truva atları ve AdWare dahil olmak üzere kötü amaçlı programların yeni sürümlerini indirir ve yükler. İnternetten indirildikten sonra, programlar başlatıldığında veya işletim sistemi başlatıldığında otomatik olarak çalışacak programların listesine dahil edilir. İndirilen programların isimleri ve konumları ile ilgili bilgiler Truva kodunda ya da bir internet kaynağından (genellikle bir web sayfasından) Trojan tarafından indirilmektedir. Bu tür kötü amaçlı program, ziyaretçilerin ilk olarak, istismar içeren web sitelerine bulaşmasında kullanılır.Platform: Win32
Win32, 32-bit uygulamaların yürütülmesini destekleyen Windows NT tabanlı işletim sistemlerinde (Windows XP, Windows 7, vb.) Bir API'dir. Dünyanın en yaygın programlama platformlarından biri.Açıklama
Trojan, gizli dosyaların aşağıdaki sistem kayıt defteri anahtarı parametrelerini değiştirerek Explorer.exe tarafından gösterilememesini sağlar:
"Gizli" = "0"
"ShowSuperHidden" = "0"
Truva ayrıca, aşağıdaki sistem kayıt defteri anahtarı parametrelerini ayarlayarak dosya uzantılarının Explorer.exe tarafından görüntülenememesini de sağlar:
"HideFileExt" = "1"
Bu parametrelerin geri alınmasını önlemek için Trojan, aşağıdaki sistem kayıt defteri anahtarı parametresini ayarlayarak Explorer.exe'deki "Klasör Seçenekleri" ni devre dışı bırakır:
"NoFolderOptions" = "1"
Trojan, Windows sistem dizininde "psador18.dll" adlı gizli bir klasör oluşturur:
Dosya aşağıdaki e-posta adreslerini içerir:
Trojan ayrıca kendi vücudundan "psagor18.sys" adlı bir rootkit çıkarır. Bu dosya Trojan'ın çalışma dizinine yerleştirilecek. Bu rootkit, "psador18.dll" ve "AHTOMSYS19.exe" dosyalarının varlığını gizleyecek işlevleri içerir. Ayrıca Truva atlarına en yüksek sistem ayrıcalıklarını da veriyor, bu da Truva atı dosyasını silmeyi veya Truva atı işlemlerini sonlandırmayı imkansız kılıyor.
Sistem kapatıldığında, bu dosya silinecek, ancak sistem yeniden başlatıldığında yeniden oluşturulacaktır.
Truva atı, aşağıdaki başlıklarla pencerelerin görünümünü izler:
Сканер NOD32 по требованию - [Профиль центра управления - Локально] Сканер NOD32 по требованию - [Профиль контекстного меню] NOD32 - Предупреждение Пpeдупpeждeниe Editörleri конфиг урации NOD32 - [Başlıksız] Антивирус Касперского Kişisel 0- выполняется проверка ... Карантин Настройка обновления Настройка карантина и резервного хранилища AVP.MessageDialog AVP.MainWindow AVP.Product_Notification AVP.SettingsWindow AVP.ReportWindow Agnitum Outpost Güvenlik Duvarı - configure.cfg Nasıl yükleyebilirim? RegDdit_RegEdit
Trojan bu pencereleri tespit ederse, otomatik olarak kapanacaktır.
Trojan ayrıca flaş cihazları arar. Eğer böyle bir cihaz tespit ederse, Trojan vücudunu "CDburn.exe" olarak kopyalayacak ve Truva'nın vücuduna bir bağlantı içeren "autorun.inf" adlı bir dosya oluşturacaktır. Bu, cihaz her bağlandığında Trojan dosyasının otomatik olarak başlatılmasını sağlar.
Trojan ayrıca, mağdur makineden e-posta adresleri toplar ve onlara bir e-posta mesajı gönderir. E-postada boş bir konu satırı ve aşağıdaki içerik var:
Daha fazlasını okuyun
Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com