A Zlob.P trójai legtöbbször egyéb kártékony programok révén kerül rá a számítógépekre, de akár weboldalakon keresztül is letöltődhet a nem megfelelően védett rendszerekre. Amint elindul, akkor néhány fájl létrehozása után nekilát a Windows regisztrációs adatbázisának módosításához. Ennek révén új szolgáltatást hoz létre, módosítja a Windows beépített tűzfalát, megváltoztatja az Internet Explorer egyes beállításait, valamint manipulál egyes hálózati beállításokat, elsősorban a DNS paramétereket. Ennek következtében átirányításokat képes végrehajtani a hálózati adatforgalomban.
Az Isidor Biztonsági Központ közleménye szerint a Zlob.P trójai egyik legérdekesebb jellemzője, hogy a számítógépek megfertőzése után elkezdi feltérképezni a helyi hálózatokat, és routereket keres. A kártékony program elsősorban a 10.10.1.1-es IP-címmel ellátott routerek után kutakodik, és azokhoz előre meghatározott felhasználónevek és jelszavak segítségével próbál csatlakozni. Amennyiben ez sikerül számára, akkor megpróbál hátsó kaput létesíteni a hálózati eszközökön.
A trójai elleni védekezés egyik legfontosabb pillére, hogy a hálózati útválasztókat megfelelően biztonságos jelszavakkal kell ellátni, és a gyári hozzáférési adatokat mindenképpen meg kell változtatni.
Amikor a Zlob.P trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza az alábbi állományokat:
%System%[véletlenszerű karakterek].exe
%System%spoolprtprocsw32x86[véletlenszerű karakterek].dll
%Temp%[véletlenszerű karakterek].tmp
%Temp%[véletlenszerű karakterek].tmp
2. A regisztrációs adatbázishoz hozzáfűzi a következő értékeket:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSWU-[véletlenszerű karakterek]"DisplayName" = "MSWU-[EIGHT RANDOM CHARACTERS]"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSWU-[véletlenszerű karakterek]"ErrorControl" = "0"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSWU-[véletlenszerű karakterek]"ImagePath" = "%System%[EIGHT RANDOM CHARACTERS].exe"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSWU-[véletlenszerű karakterek]"ObjectName" = "LocalSystem"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSWU-[véletlenszerű karakterek]"Start" = "2"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSWU-[véletlenszerű karakterek]"Type" = "16"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSWU-[véletlenszerű karakterek]Security"Security" = "[…]"
3. Létrehoz egy MSWU-[véletlenszerű karakterek] névvel ellátott windowsos szolgáltatást, amely az operációs rendszer minden egyes betöltődésekor automatikusan elindul.
4. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MSWU-[véletlenszerű karakterek]"NextInstance" = "1"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MSWU-[véletlenszerű karakterek]�000"Class" = "LegacyDriver"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MSWU-[véletlenszerű karakterek]�000"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MSWU-[véletlenszerű karakterek]�000"ConfigFlags" = "0"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MSWU-[véletlenszerű karakterek]�000"DeviceDesc" = "MSWU-[EIGHT RANDOM CHARACTERS]"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MSWU-[véletlenszerű karakterek]�000"Legacy" = "1"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MSWU-[véletlenszerű karakterek]�000"Service" = "MSWU-[véletlenszerű karakterek]"
5. A regisztrációs adatbázis alábbiak szerinti módosításával megkerüli a Windows beépített tűzfalát:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList"%System%spoolsv.exe" = "%System%spoolsv.exe:*:Enabled:spoolsv.exe"
6. A regisztrációs adatbázisban létrehozza a következő értékeket, amikkel megváltoztatja az Internet Explorer egyes alapbeállításait:
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet Settings"ProxyEnable" = "0"
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet SettingsConnections"DefaultConnectionSettings" = "[...]"
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet SettingsConnections"SavedLegacySettings" = "[...]"
7. A regisztrációs adatbázisban módosítja a DNS-beállításokat:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters"NameServer" = "93.188.163.49,93.188.161.197"
8. Rendszerinformációkat gyűjt össze, amelyeket továbbít egy előre meghatározott távoli szerverre.
9. Az alábbi URL-ek révén megpróbál csatlakozni helyi routerekhez:
[http://]10.10.1.1
[http://]10.10.1.1/dlink/hwiz[...]
[http://]10.10.1.1/home[...]
[http://]10.10.1.1/inde[...]
[http://]10.10.1.1/logi[...]
[http://]10.10.1.1/wizard.htm[...]
10. Amennyiben a megadott címeken talál routert, akkor előre meghatározott belépési adatok alapján megpróbál csatlakozni, és egy hátsó kaput nyitni azokon.
A cikk a Computerworld biztonság rovatában jelent meg.
