Böngészőkben élősködik az Ebod trójai

Az Ebod trójai a webböngészők folyamatos figyelésével különböző adatokat valamint rendszerinformációkat szivárogtat ki a fertőzött rendszerekről.

Az Ebod trójai nem végez különösebben sok módosítás a számítógépeken, inkább alattomosan meglapul a rendszereken. A kártékony program elsősorban a böngészőkbe próbál beépülni annak érdekében, hogy folyamatosan kémlelhesse a felhasználó internetezési szokásait. Összegyűjti a webes keresők által megjelenített találati listákat, valamint a böngészők előzményeinek listáját. A megkaparintott információkat időközönként feltölti egy előre meghatározott távoli szerverre. Ezek mellett az alábbi adatokat is továbbítja a terjesztői számára:
- számítógép neve
- MAC-cím

Az Isidor Biztonsági Központ jelentése szerint a trójai az Internet Explorer valamint a Firefox esetében is képes ellátni a feladatát.

Amikor az Ebod trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%System%\smc.exe

2. A Windows Temp könyvtárába bemásol egy fájlt az alábbiak szerint:
%Temp%\install_flash_player.exe

3. A regisztrációs adatbázisban létrehozza a következő bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"smc" = "%System%\smc.exe"

4. Csatlakozik egy előre meghatározott távoli szerverhez.

5. Rendszerinformációkat gyűjt össze.

6. Folyamatosan monitorozza az Internet Explorer, illetve a Firefox segítségével végzett böngészést, és időközönként feltölti a keresőkben megjelenő találati listákat valamint a böngészők előzménylistáját egy távoli szerverre.

7. Átirányításokat végez a webböngészőkben.

Webes kereséseket manipulál az Ffsearch trójai

Az Ffsearch trójai a webes keresők által megjelenített weboldalak manipulálásával próbálja a felhasználókat különféle weboldalakra átirányítani.

Az Ffsearch trójai nem végez különösebben sok módosítást a fertőzött rendszereken, és a működési elve is meglehetősen egyszerű. A kártékony program megpróbál a webböngészőkbe beépülni annak érdekében, hogy folyamatosan figyelemmel tudja kísérni a felhasználó tevékenységét az interneten történő barangolás során. Amennyiben a böngészőben valamely webes kereső jelenik meg, akkor a találatok listájában szereplő hivatkozásokat módosítja. Ezzel eléri, hogy minden különösebb feltűnés nélkül különböző weblapokra irányítsa át a felhasználót.

Az Isidor Biztonsági Központ jelentése arról árulkodik, hogy az Ffsearch nem csak vaktában végzi az átirányításokat. A feladatának elvégzéséhez ugyanis egy titkosított, konfigurációs állományt szerez be az Interneten keresztül, amely azokat a webcímeket tartalmazza, melyekre a felhasználót el kell "vezetnie".

Amikor az Ffsearch trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
[aktuális könyvtár]\nkavnxe.exe
%System%\netcfgx.dll:Zone.Identifier

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_CLASSES_ROOT\CLSID\{5B035261-40F9-11D1-AAEC-00805FC1270E}\InProcServer32\"(Default)" = "%System%\netcfgx.dll:Zone.Identifier"

Ezzel beregisztrált egy COM-objektumot.

3. Az előzőekben létrehozott netcfgx.dll:Zone.Identifier nevű állományát hozzáfűzi a nectfgx.dll fájlhoz. Ezzel biztosítja azt, hogy minél tovább tudjon rejtve maradni.

4. Letölt egy titkosított állományt egy előre meghatározott távoli szerverről.

5. Az Internet Explorerben valamint a Firefoxban megjelenő webes keresők esetében átirányításokat végez. Ennek érdekében módosítja a keresők által legenerált weblapokat, és olyan linkeket helyez el, amelyeket a korábban beszerzett konfigurációs állományból olvas ki.

A HuPont.hu ingyen weboldal szerkesztő mindig ingyenes. A weboldal itt: Ingyen weboldal

ÁSZF | Adatvédelmi Nyilatkozat