Vundo, de aanklampende Trojaan
De Vundo Trojan voert zijn kwaadaardige activiteit uit achter onschadelijke Windows-processen.
De Vundo Trojan probeert zo lang mogelijk verborgen te blijven op geïnfecteerde computers. Om dit te doen, kopieert het ook bestanden naar geselecteerde computers, zodat u zich kunt verschuilen achter bekende, onschadelijke processen en vervolgens uw taak vanaf daar kunt uitvoeren.
De Trojan brengt een aantal wijzigingen aan in het register en maakt ook een BHO-object. Het genereert vervolgens verschillende configuratiebestanden waarvan het ook een back-up maakt van twee. Vundo zorgt ervoor dat je eigen bestanden niet gemakkelijk kunnen worden verwijderd, want als een antivirusprogramma of een gebruiker ze probeert te verwijderen, zullen ze onmiddellijk een ander bestand maken.
De Vundo Trojan gebruikt willekeurige bestandsnamen, maar heeft zich meestal op het internet verspreid als bkinst.exe.
Wanneer de Vundo Trojan start, voert het de volgende acties uit:
- Creëert een bestand met een willekeurige bestandsnaam in een of meer Windows-systeemmappen.
- De volgende gegevens worden toegevoegd aan de registratiedatabase:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce
HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ * MS Setup
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ * WinLogon - Het kopieert een DLL-bestand naar de Windows Temp-map, die het gebruikt om verschillende processen te infecteren en te verbergen. Het zorgt er ook voor dat als een gebruiker een geïnfecteerd bestand verwijdert, het dit onmiddellijk opnieuw maakt.
- Maakt een BHO-klasse (Browser Helper Object) met de volgende registersleutel:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {68132581-10F2-416E-B188-4E648075325A} - Creëert een INI-bestand waarin verschillende configuratiegegevens worden opgeslagen.
- Maakt twee back-ups van het configuratiebestand met de extensies .bak1 en .bak2.