Létrehozva: 2008-08-29, 13:56:00
Utolsó frissítés: 2009-11-09, 16:39:03
Platform: Win32
Típus: trójai
Méret: 46080
Dátum: 2008-02-08
Tömörítő: PECompact
Veszélyeztetett operációs rendszer(ek): Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP
Nem veszélyeztetett operációs rendszer(ek): Windows 3.xx, DOS, Linux, Unix, Solaris, MacOS, Mac OS X, OS2
 

Telepítés:

Az interneten vagy lokális hálózaton terjedő kártevők elsődleges célja, hogy egy másik számítógépet fertőzzenek meg. A megtámadott számítógép működésébe, annak operációs rendszerébe általában úgy épülnek be, hogy az egy esetleges újraindítást (boot-olást) követően is aktivízálja a kártevő kódját. Ezt általában úgy érik el, hogy a kártevő kódját tartalmazó fájl(oka)t hoznak létre vagy meglévő fájl(oka)t módosítanak, illetve beállítanak néhány bejegyzést a rendszerleíró adatbázisban, ami arra utasítja az induló operációs rendszert, hogy a frissen elhelyezett kártékony kódot is el kell indítani. Emellett - nem közvetlenül az újraindítás érdekében - más területeken (könyvtárakban) is létrehoznak magukból másolatot. Ennek kettős célja van: Egyrészt egy esetleges vírusirtást követően egy eldugott helyen megmaradhatnak a fertőzött állományok, másrészt helyi hálózatokban, megosztott könyvtárakban, peer-to-peer hálózatokban is képes terjedni. Kihasználhatják továbbá a Windows alapértelmezés szerinti beállítását is, miszerint egy létrehozott AUTORUN.INF nevű fájllal el lehet érni, hogy egy meghajtó megnyitásakor is aktivizálódjon a kártékony kód.
image

A Win32/BHO.NCG trójai a Windows mappában (alapértelmezés szerint C:\Windows) létrehozza a(z) \Installer\{b5ea26c8-b175-46da-9ea6-cf627053d817} nevű fájlt.

image image image

A Win32/BHO.NCG trójai a rendszerleíró adatbázisba az alábbi bejegyzéseket hozza létre, illetve módosítja (ha már létezik):

  • [HKEY_CLASSES_ROOT\CLSID\{b5ea26c8-b175-46da-9ea6-cf627053d817}\InProcServer32] "@"="C:\WINDOWS\Installer\{b5ea26c8-b175-46da-9ea6-cf627053d817}\zip.dll"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b5ea26c8-b175-46da-9ea6-cf627053d817}\InProcServer32] "@"="C:\WINDOWS\Installer\{b5ea26c8-b175-46da-9ea6-cf627053d817}\zip.dll"
  • [HKEY_CLASSES_ROOT\CLSID\{b5ea26c8-b175-46da-9ea6-cf627053d817}]

Hátsóajtó

A vírusok, férgek egyre gyakrabban nyitnak hátsóajtót a megtámadott számítógépen. Ezzel teljes mértékben átvehetik a számítógép felügyeletét, a támadó azt csinál a számítógépen, amit csak akar: alkalmazásokat futtathat, állíthat le, állományokat tölthet le/fel, jelszavakat, hozzáférési kódokat tulajdoníthat el.

Az alábbi weboldalakhoz csatlakozik:

  • v3.mainfeedhere.com
  • v3mainfeeedhere.com
  • v3mainfeedthere.com
  • dns4error.com
  • dns5error.com
  • dns6error.com