Összefoglaló
A Babonock féreg elsősorban cserélhető adattárolókon bukkanhat fel. Amint a felhasználó egy fertőzött számítógéphez csatlakoztat egy pendrive-ot, memóriakártyát stb., akkor a károkozó rögtön megpróbálja felmásolni az állományait, és arról is gondoskodik, hogy az adathordozó következő használatakor a lehető legkevesebb közreműködéssel tudjon elindulni.
A Babonock a billentyűleütések folyamatos kémlelésével próbál bizalmas adatokhoz hozzájutni. Ezeket aztán egy távoli szerverre tölti fel, és ilyen módon értékes információkkal halmozza el a terjesztőit.
Leírás
1. Létrehozza a következő állományt:
%UserProfile%Application DataMicrosoftOfficerundll32.exe
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Microsoft Windows” = “%UserProfile%Application DataMicrosoftOfficerundll32.exe”
3. A regisztrációs adatbázist kiegészíti a következő értékekkel:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced”HideFileExt” = “1”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced”ShowSuperHidden” = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced”Msversion” = “3fa”
4. Folyamatosan naplózza a billentyűleütéseket.
5. Fájlokat tölt le interneten keresztül.
6. Az összegyűjtött adatokat feltölti egy vezérlőszerverre.
7. Felmásolja a saját állományait a cserélhető meghajtókra.
Támadás típusa
System access (Rendszer hozzáférés)Hatás
Unknown (Ismeretlen)Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Egyéb referencia: isbk.hu