Ana sınıf: TrojWare
Truva atları, kullanıcı tarafından izin verilmeyen eylemleri gerçekleştiren kötü amaçlı programlardır: veriyi siler, engeller, değiştirir veya kopyalarlar ve bilgisayarların veya bilgisayar ağlarının performansını bozarlar. Virüslerden ve solucanlardan farklı olarak, bu kategoriye giren tehditler kendi kopyalarını kopyalayamaz veya kendi kendini kopyalayamaz. Truva atları, enfekte olmuş bir bilgisayarda gerçekleştirdikleri eylem türüne göre sınıflandırılır.Sınıf: Trojan-PSW
Trojan-PSW programları, virüslü bilgisayarlardan giriş ve şifre gibi kullanıcı hesap bilgilerini çalmak üzere tasarlanmıştır. PSW, Password Stealing Ware'ın bir kısaltmasıdır. Başlatıldığında, bir PSW Truva atı, bir dizi gizli veriyi veya kayıt defterini saklayan sistem dosyalarını arar. Bu tür bir veri bulunursa, Truva atı “master” e gönderir. E-posta, FTP, web (bir talepte bulunan veriler dahil) veya çalınan verilerin aktarılması için başka yöntemler kullanılabilir. Bazı Truva atları da belirli yazılım programları için kayıt bilgilerini çalmaktadır.Platform: Win32
Win32, 32-bit uygulamaların yürütülmesini destekleyen Windows NT tabanlı işletim sistemlerinde (Windows XP, Windows 7, vb.) Bir API'dir. Dünyanın en yaygın programlama platformlarından biri.Açıklama
Teknik detaylar
Bu bir parola ve WebMoney bilgileri Trojan programını çalarak İnternet Web sitelerinden "güncellemelerini" indirip yeni sürümleri ile yerini alabiliyor. Trojan, ücretsiz oyun paketlerine yerleştirildi ve bu şekilde Mayıs 2001'de dağıtıldı.
Truva atı Internet Web sitelerinden kendisini "yükseltebileceğinden", aşağıdaki bilgiler henüz bilinmeyen Trojan sürümleri için tamamen doğru olmayabilir.
Kurulum
Trojan çalıştırıldığında, kendini Windows sistem dizinine TASKSVR32.EXE adıyla kopyalar ve kayıt otomatik çalıştırma anahtarında kendisini kaydeder:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun Microsoft Görev Yöneticisi = tasksvr32.exe
Bu anahtarı oluştururken bir hata oluşursa (geçerli kullanıcının HKLM anahtarlarına erişimi yoktur), Truva atı HKCU anahtarında kendini kaydeder:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun Microsoft Görev Yöneticisi = tasksvr32.exe
Trojan daha sonra Windows sistem dizininde DLL dosya yardımcı COOLX.DLL oluşturur. Orijinal Truva dosyası (Trojenin başladığı) daha sonra silinir.
Trojan ayrıca daha fazla kayıt defteri anahtarı oluşturur ve orada onaltılık değerler yazar:
HKCUSoftwareMicrosoftDirectX
DRMInstallFocus =% hex valie%; bu dört anahtar
DRMInstallPlace =% hex valie%; Truva zaman sistem zamanı
DRMUpdateFocus =% hex valie%; kendini yükler
DRMUpdatePlace =% hex valie%; sisteme
DRMVersion =% hex valie%; Truva versiyonu
Trojan daha sonra Windows belleğinde gizli bir servis işlemi olarak kalır ve Windows yeniden başlatana kadar aktiftir.
Çalınan Bilgi
Truva atı, yazarı virüslü bir bilgisayardan aşağıdaki bilgileri gönderir:
Bilgisayar adı
Kullanıcı adı
RegisteredOwner ve RegisteredOrganizasyon dizeleri
Yüklü donanım bilgisi
Erişim moduna sahip ağ kaynakları
IP adresi
RAS bilgisi, Önbelleğe alınmış şifreler
diğer İnternet erişimi girişleri ve şifreleri
ICQ kullanıcı bilgisi
WebMoney bilgi ve veri dosyaları
Yükseltme
Çeşitli koşullara bağlı olarak, Truva atı Internet sitelerinden dosyalar alır, bunları RTTY32.EXE adıyla Windows geçici dizinine indirir ve genişletir. Bu dosyalar bir sonraki Truva sürümleridir ve gelişmiş işlevlere sahip olabilirler.
Bilinen Truva sürümleri aşağıdaki sayfalardan dosyaları indirir:
sfavp.chat.ru/update
widpage.chat.ru/update
Diğer
Bazı bilinen sürümler de:
http://vrs.ru
http://ebooks.vov.ru
http://3w.ozonebooks.com
Daha fazlasını okuyun
Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com