Vírushíradó – Káoszt hagy maga után a Hibik trójai
A Hibik.A trójai célja, hogy minél több bizalmas adatot gyűjtsön össze a fertőzött számítógépekről.
A Hibik.A trójai kezdetben csak két állományt hoz létre a Windows egyik rendszerkönyvtárába, nem sokkal később azonban már nagy mennyiségben kezd el .dll kiterjesztéssel rendelkező fájlokat generálni. Ezt követően módosítja a regisztrációs-adatbázist, amelyben különböző kulcsokat hoz létre, illetve értékeket módosít. A kártevő legfőbb célja, hogy bizalmas adatokat gyűjtsön össze a fertőzött rendszerekről. Amennyiben sikeresen elvégzi a feladatát, akkor az eredeti állományait letörli, azonban a fájlrendszerben és a regisztrációs adatbázisban végzett műveleteket nem állítja helyre, így továbbra is képes marad a károkozásra.
Amikor a Hibik.A trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat:
%System%\drivers\HBKernel32.sys
%System%\System.exe - A Windows System32 könyvtárába valamint a trójai fájlját tartalmazó (aktuális) könyvtárba számos állományt másol be, amelyek fájlnevének mindegyike “HB”-vel kezdődik és DLL kiterjesztéssel rendelkezik.
- A regisztrációs adatbázisban létrehozza a következő kulcsokat:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HBKERNEL32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\HBKernel32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\HBKernel32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HBKERNEL32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HBKernel32 - A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
“HBService32” = “SYSTEM.EXE” - Módosítja a regisztrációs adatbázis következő kulcsát:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows”AppInit_DLLs” = “[…]” - Letörli az eredeti állományokat.
