BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Trojan-Downloader.Win32.VB

Bulunma tarihi 04/13/2010
Sınıf Trojan-Downloader
Platform Win32
Açıklama

Trojan, gizli dosyaların aşağıdaki sistem kayıt defteri anahtarı parametrelerini değiştirerek Explorer.exe tarafından gösterilememesini sağlar:

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"Gizli" = "0"
"ShowSuperHidden" = "0"

Truva ayrıca, aşağıdaki sistem kayıt defteri anahtarı parametrelerini ayarlayarak dosya uzantılarının Explorer.exe tarafından görüntülenememesini de sağlar:

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"HideFileExt" = "1"

Bu parametrelerin geri alınmasını önlemek için Trojan, aşağıdaki sistem kayıt defteri anahtarı parametresini ayarlayarak Explorer.exe'deki "Klasör Seçenekleri" ni devre dışı bırakır:

[HKLMSoftwareMicrosoftWindowsCurrentVersionpoliciesexplorer]
"NoFolderOptions" = "1"

Trojan, Windows sistem dizininde "psador18.dll" adlı gizli bir klasör oluşturur:

% System% ðsàdîr18.dll

Dosya aşağıdaki e-posta adreslerini içerir:

ot01_***@mail.ru
ot02_***@mail.ru

Trojan ayrıca kendi vücudundan "psagor18.sys" adlı bir rootkit çıkarır. Bu dosya Trojan'ın çalışma dizinine yerleştirilecek. Bu rootkit, "psador18.dll" ve "AHTOMSYS19.exe" dosyalarının varlığını gizleyecek işlevleri içerir. Ayrıca Truva atlarına en yüksek sistem ayrıcalıklarını da veriyor, bu da Truva atı dosyasını silmeyi veya Truva atı işlemlerini sonlandırmayı imkansız kılıyor.

Sistem kapatıldığında, bu dosya silinecek, ancak sistem yeniden başlatıldığında yeniden oluşturulacaktır.

Truva atı, aşağıdaki başlıklarla pencerelerin görünümünü izler:

NOD32 2.5 Denetim Merkezi
Сканер NOD32 по требованию – [Профиль центра управления – Локально] Сканер NOD32 по требованию – [Профиль контекстного меню] NOD32 – Предупреждение Пpeдупpeждeниe Editörleri конфиг урации NOD32 – [Başlıksız] Антивирус Касперского Kişisel 0- выполняется проверка … Карантин Настройка обновления Настройка карантина и резервного хранилища AVP.MessageDialog AVP.MainWindow AVP.Product_Notification AVP.SettingsWindow AVP.ReportWindow Agnitum Outpost Güvenlik Duvarı – configure.cfg Nasıl yükleyebilirim? RegDdit_RegEdit

Trojan bu pencereleri tespit ederse, otomatik olarak kapanacaktır.

Trojan ayrıca flaş cihazları arar. Eğer böyle bir cihaz tespit ederse, Trojan vücudunu "CDburn.exe" olarak kopyalayacak ve Truva'nın vücuduna bir bağlantı içeren "autorun.inf" adlı bir dosya oluşturacaktır. Bu, cihaz her bağlandığında Trojan dosyasının otomatik olarak başlatılmasını sağlar.

Trojan ayrıca, mağdur makineden e-posta adresleri toplar ve onlara bir e-posta mesajı gönderir. E-postada boş bir konu satırı ve aşağıdaki içerik var:

Я незнаю ее там помоему небыло (((… вот, посмотри http://softclub.land.ru/seeing/katie.rar

Orijinaline link