Zagrożenie jakie generuje uznawane jest za niskie.
Backdoor.Ratenjay dostając się do komputera tworzy kilka kopii siebie samego:
Kod: Zaznacz cały
%Temp%\[THREAT FILE NAME].exe
%SystemDrive%\! My Picutre.SCR
%DriveLetter%\! My Picutre.SCR
%ProgramFiles%\Startup\[RANDOM NAME].exe
przy czym używa tutaj nazw adobe, Trojan, WinRAR lun driver.
Siłą rzeczy chcą operować w systemie musi dodać się też do autorastartu, co czyni poprzez rejestr
Kod: Zaznacz cały
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[DIGITS AND NUMBERS]" = "%Temp%\[THREAT FILE NAME]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[DIGITS AND NUMBERS]" = "\%Temp%\[THREAT FILE NAME]\"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[DIGITS AND NUMBERS]" = "%Temp%\[THREAT FILE NAME]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[DIGITS AND NUMBERS]" = "\%Temp%\[THREAT FILE NAME]\"
Na koniec tworzy dodatkowe wpisy do rejestru
Kod: Zaznacz cały
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"CleanShutdown" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%Temp%\[THREAT FILE NAME]" = "%Temp%\[THREAT FILE NAME]:*:Enabled:[THREAT FILE NAME]"
Atakujący może teraz już wykonywać kilka operacji, a wśród nich:
- wywoływanie poleceń shell
- instalować keyloggera
- pobierać informacje o komputerze
- modyfikować rejestr
- pobierać i uruchamiać pliki
- ładować i uruchamiać rozszerzenia
- robić zrzuty ekranu
- samodzielnie się odinstalować lub uaktualnić
- może też kopiować siebie na dyski przenośne i sieciowe.
Informacja pochodzi od firmy Symantec