BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Trojan.Win32.Angriff

Sınıf Trojan
Platform Win32
Açıklama

Teknik detaylar

Bu, Xerox finansal bilgi masaüstüne saldıran Win95 / 98 / ME trojan programıdır (bkz. Http://www.spxpresso.com). Truva, mali işlemleri değiştirmeyi planlıyor, muhtemelen bu işlemi hacker'ın banka hesabına iletmek. Truva atı, Java'da yazılmış Xpresso istemcisi tarafından kullanılan Java çalışma zamanı kitaplığını etkileyerek bunu yapar.

Truva, virüs laboratuarında test edilmedi, bu yüzden korsanların veya başka bir hesabın para transferlerini garanti edemeyiz. Gerçek şu ki, trojan işlemleri kesiyor ve işlem kontrol bloklarındaki verileri değiştiriyor.

Trojan, Win32 PE EXE dosyalarına ekli olarak dağıtılıyor. Truva kodu, PE EXE dosyalarının sonuna virüs benzeri bir şekilde yerleştirilir. Etkilenen dosya çalıştırıldığında, truva kodu, ana trojan bileşenini sisteme yükler ve kurar. Kontrol daha sonra ana dosyaya döndürülür.

Truva, diğer PE EXE dosyalarını tek başına etkileyemez. Özel bir "bırakarak" trojan bileşeni (komut satırı Win32 uygulaması), kurye PE EXE dosyalarını kullanıcının isteği üzerine eklenmiş trojan kodu bulundu.

Truva atı sisteme yüklenirken kod VxD bileşeninden (ana trojan bileşeni) çıkar ve yeni oluşturulan MSREBOOT.VXD dosyasına Windows sistem dizinine yazar. Bu VxD daha sonra "VxD Hizmetleri" kayıt defteri anahtarına kaydedilir.

Orada oluşturulan daha fazla anahtar da var:

HKLMSystemCurrentControlSetServicesVxDREBOOT
RebootData = [sıfır uzunluklu veri]
Başlangıç ​​= 00
StaticVxD = "* REBOOT, MSREBOOT.VXD"

İlk anahtar, trojanın kendini sistemden kaldıracağı tarihi gösterir. Trojan daha sonra VXD dosyasını sıfırlarla siler, sonra dosyayı siler.

İkinci anahtar bilinmiyor.

Üçüncü anahtar, Windows'un Windows'u başlatırken VXD dosyasını yüklemesi ve etkinleştirmesi için zorlayan otomatik yükleme kayıt defteri anahtarıdır.

Trojan VXD dosyası etkinleştirildiğinde ana trojan prosedürü dosya açma işlemini izler ve Java runtime library JRT3230.DLL dosyasını arar. Truva atı, o kütüphane yüklemesini atlar, yükleme tamamlandığında bekler ve "do_execute_java_method_vararg" Java işlevini kancalar.

Fahişe daha sonra, Xpresso istemcisi kullanılarak yapılan banka havaleleri dahil olmak üzere, bu işlev tarafından işlenen tüm verileri kancalar. Truva, transfer talebi yapısını ayrıştırır ve bu talepteki bazı alanları diğer değerlerle değiştirir. Truva atı, orijinal hedef banka hesap numarasının korsanının yerine geçtiği anlaşılıyor.


Orijinaline link