Selecteer pagina

Vundo, de aanklampende Trojaan

Geschreven door: | 2008 april 18 | | 0 |

De Vundo Trojan voert zijn kwaadaardige activiteit uit achter onschadelijke Windows-processen.

De Vundo Trojan probeert zo lang mogelijk verborgen te blijven op geïnfecteerde computers. Om dit te doen, kopieert het ook bestanden naar geselecteerde computers, zodat u zich kunt verschuilen achter bekende, onschadelijke processen en vervolgens uw taak vanaf daar kunt uitvoeren.

De Trojan brengt een aantal wijzigingen aan in het register en maakt ook een BHO-object. Het genereert vervolgens verschillende configuratiebestanden waarvan het ook een back-up maakt van twee. Vundo zorgt ervoor dat je eigen bestanden niet gemakkelijk kunnen worden verwijderd, want als een antivirusprogramma of een gebruiker ze probeert te verwijderen, zullen ze onmiddellijk een ander bestand maken.

De Vundo Trojan gebruikt willekeurige bestandsnamen, maar heeft zich meestal op het internet verspreid als bkinst.exe.

Vundo, de aanklampende Trojaan

Wanneer de Vundo Trojan start, voert het de volgende acties uit:

  1. Creëert een bestand met een willekeurige bestandsnaam in een of meer Windows-systeemmappen.
  2. De volgende gegevens worden toegevoegd aan de registratiedatabase:
    HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce
    HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
    HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
    HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ * MS Setup
    HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ * WinLogon
  3. Het kopieert een DLL-bestand naar de Windows Temp-map, die het gebruikt om verschillende processen te infecteren en te verbergen. Het zorgt er ook voor dat als een gebruiker een geïnfecteerd bestand verwijdert, het dit onmiddellijk opnieuw maakt.
  4. Maakt een BHO-klasse (Browser Helper Object) met de volgende registersleutel:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {68132581-10F2-416E-B188-4E648075325A}
  5. Creëert een INI-bestand waarin verschillende configuratiegegevens worden opgeslagen.
  6. Maakt twee back-ups van het configuratiebestand met de extensies .bak1 en .bak2.
Lezing: 2

Meeteenheid:

Over de auteur

aanhangers

gerelateerde berichten

Office 2010 SP1 is voltooid

Office 2010 SP1 is voltooid

2011-06-29

De LibreOffice-conferentie vond plaats in Parijs

De LibreOffice-conferentie vond plaats in Parijs

2011-10-21

Hoe installeer ik de XP-modus op Win7 Basic en Professional? (klaar)

Hoe installeer ik de XP-modus op Win7 Basic en Professional? (klaar)

2010-04-20

Spectaculaire vloeistofsimulatie van NVIDIA (met video)

Spectaculaire vloeistofsimulatie van NVIDIA (met video)

2013-04-29

banner

KoopBestGear

Advertentie

ranvee

Ranvee huishoudelijke apparaten