BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Trojan-PSW.Win32.Widget

Sınıf Trojan-PSW
Platform Win32
Açıklama

Teknik detaylar

Bu bir parola ve WebMoney bilgileri Trojan programını çalarak İnternet Web sitelerinden "güncellemelerini" indirip yeni sürümleri ile yerini alabiliyor. Trojan, ücretsiz oyun paketlerine yerleştirildi ve bu şekilde Mayıs 2001'de dağıtıldı.

Truva atı Internet Web sitelerinden kendisini "yükseltebileceğinden", aşağıdaki bilgiler henüz bilinmeyen Trojan sürümleri için tamamen doğru olmayabilir.

Kurulum

Trojan çalıştırıldığında, kendini Windows sistem dizinine TASKSVR32.EXE adıyla kopyalar ve kayıt otomatik çalıştırma anahtarında kendisini kaydeder:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun Microsoft Görev Yöneticisi = tasksvr32.exe

Bu anahtarı oluştururken bir hata oluşursa (geçerli kullanıcının HKLM anahtarlarına erişimi yoktur), Truva atı HKCU anahtarında kendini kaydeder:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun Microsoft Görev Yöneticisi = tasksvr32.exe

Trojan daha sonra Windows sistem dizininde DLL dosya yardımcı COOLX.DLL oluşturur. Orijinal Truva dosyası (Trojenin başladığı) daha sonra silinir.

Trojan ayrıca daha fazla kayıt defteri anahtarı oluşturur ve orada onaltılık değerler yazar:

HKCUSoftwareMicrosoftDirectX
DRMInstallFocus =% hex valie%; bu dört anahtar
DRMInstallPlace =% hex valie%; Truva zaman sistem zamanı
DRMUpdateFocus =% hex valie%; kendini yükler
DRMUpdatePlace =% hex valie%; sisteme
DRMVersion =% hex valie%; Truva versiyonu

Trojan daha sonra Windows belleğinde gizli bir servis işlemi olarak kalır ve Windows yeniden başlatana kadar aktiftir.

Çalınan Bilgi

Truva atı, yazarı virüslü bir bilgisayardan aşağıdaki bilgileri gönderir:

Bilgisayar adı
Kullanıcı adı
RegisteredOwner ve RegisteredOrganizasyon dizeleri
Yüklü donanım bilgisi
Erişim moduna sahip ağ kaynakları
IP adresi
RAS bilgisi, Önbelleğe alınmış şifreler
diğer İnternet erişimi girişleri ve şifreleri
ICQ kullanıcı bilgisi
WebMoney bilgi ve veri dosyaları

Yükseltme

Çeşitli koşullara bağlı olarak, Truva atı Internet sitelerinden dosyalar alır, bunları RTTY32.EXE adıyla Windows geçici dizinine indirir ve genişletir. Bu dosyalar bir sonraki Truva sürümleridir ve gelişmiş işlevlere sahip olabilirler.

Bilinen Truva sürümleri aşağıdaki sayfalardan dosyaları indirir:

sfavp.chat.ru/update
widpage.chat.ru/update

Diğer

Bazı bilinen sürümler de:

  • C: AUTOEXEC.BAT dosyasını bir "format C:" Trojan programı ile üzerine yaz.
  • Internet Explorer'ı çalıştırın ve aşağıdaki sayfalardan birini açın:

    http://vrs.ru
    http://ebooks.vov.ru
    http://3w.ozonebooks.com

  • http://www.ibm.com adresindeki DoS saldırısını çalıştırın

  • Orijinaline link