Backdoor.Kargatroj jest koniem trojańskim pomaga w wykradaniu danych z systemu.
Zgodnie z informacjami Symanteca, trojan ten tworzy następujące pliki:
Kod: Zaznacz cały
%Windir%\webconfig\[FILE NAME]
%Windir%\webconfig\svr\
%Windir%\webconfig\Ret\
%Windir%\webconfig\Ret\ZZ[FILE NAME]
%Windir%\webconfig\svr\Usblog_UDISK.log
%Windir%\webconfig\svr\Filerec.log
%Windir%\~bandu.tmp
%System%\usbprotect.exe
%System%\secur16.dll
%RemovableDrive%:\[FILE NAME].exe
%RemovableDrive%:\New folder.exe
Następnie dodaje się do rejestru
Kod: Zaznacz cały
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = 0x00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = 0x00000000
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\AppMgmt\"Start" = 0x00000002
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = 0x00000000
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\AppMgmt\Parameters\"ServiceDll" = %System%\secur16.dll
HKEY_CLASSES_ROOT\exefile\"NeverShowExt" = "0"
Szkodnik ukrywa znane rozszerzenia oraz pliki systemowe. Na bieżąco sprawdza podłączane dyski w celu dodania w nich swojej kopii pod postacią pliku adding.exe oraz wrzuca do menedżera aplikacji plik secur16.dll w celu uruchamiania siebie przy starcie. Tworzy też plik New folder.exe.
Szkodnik wykrada pliki .doc oraz .xls
Kopiuje je do folderu webconfig w folderze Windowsa. Wszystkie pliki szyfruje w folderze webconfig\Ret\ZZ[FILE NAME], a następnie kasuje oryginały. Komunikuje się ze swoim serwerem na porcie 443.