Als laatste, misschien had je dit al:
Wanneer Trojan.Satiloler.d eenmaal geactiveerd is, gebeuren er de volgende acties;
1. Het maakt het volgende bestand aan welke er voor zorgt dat het virus maar 1 keer mag draaien/actief-worden op de geinfecteerde computer:
_Toolbar_Class_32
2. Het maakt een backup van het originele bestand %System%\userinit.exe naar:
%Windir%\system\userinit.exe
daarna maakt de trojan een kopie of zichzelf naar het volgende bestand in de volgende map:
%System%\userinit.exe
Opmerking:
- %Windir% is een variabele die verwijst naar de Windows installatie folder. Standaart is dit de map C:\Windows\ (Windows 95/98/Me/XP) of C:\Winnt\(Windows NT/2000).
- %SystemDrive% verschild per Windows installatie, het ligt eraan op welke schijf Windows geïnstalleerd is. Standaart is dit C:
3. Het kopieert zichzelf als het volgende bestand in de volgende map:
- %ProgramFiles%\Common Files\system\lsass.exe
- %Windir%\system\ctfmon.exe
Opmerking:
- %ProgramFiles% is een variabele die verwijst naar de programma folder. Standaart is dit C:\Program Files
4. Het maakt de volgende bestanden aan:
- %System%\divx5.dll
- %System%\h323.txt
5. Het voegt de volgende waarde toe:
"ctfmon.exe" = "%Windir%\system\ctfmon.exe"
aan de subsleutel van het register:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
welke altijd samen start met Windows.
6. Het voegt de volgende waar de toe:
"Userinit" = "%ProgramFiles%\Common Files\system\lsass.exe"
aan de subsleutel van het register:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
welke altijd samen start met Windows.
7. Het voegt de volgende waar de toe:
"tvr" = "[PATH TO TROJAN EXECUTABLE]"
aan de subsleutel van het register:
HKEY_LOCAL_MACHINE\SOFTWARE
deze probeerd u voor de gek te houden door voor te doen als geinfecteerd bestand.
8. Het voegt de volgende waar de toe:
"gold" = "[WILLEKEURIG GETAL]"
aan de subsleutel van het register:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
deze probeerd u voor de gek te houden door voor te doen als geinfecteerd bestand.
9. Het voegt de volgende waardes toe:
-"%Windir%\system\ctfmon.exe" = "%Windir%\system\ctfmon.exe:*:Enabled:ctfmon"
-"%System%\userinit.exe" = "%System%\userinit.exe:*:Enabled:userinit"
aan de subsleutel van het register:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
welke de instellingen van uw Windows FireWall wijzigd zodat het zijn eigen weg kan leiden.
10. Het wijzigt de volgende waardes:
SFCDisable" = "FFFFFF9D"
"SFCScan" = "0"
aan de subsleutel van het register:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
welke Windows File Protection uit schakelt.
11. Het voegt de volgende waarde toe:
"System" = ""
aan de subsleutel van het register:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
12. Het verwijderd alle subsleutels onder de volgende sleutels:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Explorer\Browser Helper Objects
13. Het probeert de volgende bestanden te downloaden waarin staat hoe het zijn werk moet gaan:
[
http://]www.certdreams.com/cm[VERWIJDERD]
[
http://]www.certdreams.com/pm[VERWIJDERD]
[
http://]www.certdreams.com/down[VERWIJDERD]
Alternatiev, de trojan maakt misschien verbinding met een domein welke in de volgende register sleutel staat:
HKEY_LOCAL_MACHINE\Software\Microsoft\"d" = "[DOMAIN NAME]"
De trojan slaat het bestand wat hij van bovenstaand domein download op als:
%System%\cmd.txt
14. Het wijzigt de volgende .dll bestanden en maakt enkele kopieen van %Windir%\dllcache map, om er zeker van te zijn dat Windows File Protection uitgeschakeld is.
- %System%\sfc_os.dll
- %System%\sfc.dll
15. Het probeerd programma's/vensters af te sluiten die een van de volgende namen bevat. Deze kunnen betrekking hebben op uw security-software:
- Norton Personal Firewall
- Create rule for %s
- Un processus cache requiert une connexion reseau.
- Ne plus afficher cette invite
- Un proceso oculto solicita acceso a la red
- Aceptar
- Warning: Components Have Changed
- &Make changed component shared
- Hidden Process Requests Network Access
- Ein versteckter Prozess verlangt Netzwerkzugriff.
- PermissionDlg
- &Remember this answer the next time I use this program.
- &Yes
- Windows Security Alert
- Allow all activities for this application
- Kerio Personal Firewall Alert
- Create a rule for this communication and don't ask me again.
16. Het probeerd de volgende processen (taken die door de computer zelf worden gestart) af te sluiten:
- WINLDRA.EXE
- NETSCAPE.EXE
- OPERA.EXE
- FIREFOX.EXE
- MOZILLA.EXE
- M00.EXE
- WINTBPX.EXE
- SWCHOST.EXE
- SVOHOST.EXE
- SVC.EXE
- WINSOCK.EXE
17. Het probeert de volgende programma's uit te schakelen zodat deze helemaal niet meer gebruikt kunnen worden:
- C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
- C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
18. Het steelt de volgende informatie en zet het in %System\h323.txt:
- POP3 gebruikersnamen.
- Wachtwoorden van Internet Explorer.
- MSN Explorer gebruikersnamen.
- The Bat! Configuratie bestanden.
19. Het zoekt naar de volgende namen in de Internet Explorer:
-abbey
-allianc
-bank
-barclay
-cahoot
-citi
-e-gold
-egg
-first
-hali
-hsbc
-if.com
-lloyd
-marbles
-nation
-natwest
-npbs
-nwolb
-online
-rbs.
-smile
-trade
20. Het registreerd de volgende dingen die u doet in het bestand
%System\h323.txt:
- Welke websites u bezocht hebt
- Welke Invoegingen u doet op websites
- Toetsenbord aanslagen
21. Het zet alle verzamelde gegevens in 1 bestand en verzend het via Internet naar de aanvaller. Bij deze gegevens plaatst het nog enkele gegevens van de gebruiker:
- Gebruikersnaam
- Poort van verzenden
- Verbinding type (Inbelmodem of LAN)
22. Het opent om te verzenden een willekeurige TCP poort.
Verwijder instructies:
Verwijder het virus met de gratis online scanner van Symantec,