Egy trójai okozza a Windows 7 halálát
A Microsoft szerint nem a novemberben kiadott biztonsági frissítés, hanem a Daonol nevű trójai kémprogram okozhatja a Windows 7 operációs rendszeren tapasztalt "feketeképernyő-halált".
A Windows "fekete halála" a beszámolók szerint azonban nemcsak a Windows 7, hanem az XP és a Vista rendszereket futtató gépeket is érintheti. A fekete képernyő az eddigi tapasztalatok szerint legalább 10 különböző esetben jelenhet meg. A Microsoft azt tanácsolja, hogy akinél jelentkezik ez a hiba, forduljon a vevőszolgálatukhoz.
A jelenség: A Windows indulása után fekete képernyő és csak az egér kurzor látszódik.
Oka: A jelenséget egy Daonol.F trójai okozza
A jelenlegi ismeretek alapján a leggyorsabb hatástalanítás a következő:
A fájl mérete 18432 byte, erre rá kellene keresni egy másik gépről (Akár behelyezve az adott másik gépbe a problémás operációs rendszer winchester-ét.), ez a fájl a C:\Windows mappában található, ezt a fájlt törölni kell, majd az adott fájl nevére a rendszer leíró adatbázisban rá kell keresni és törölni kell a hozzá tartozó bejegyzést is.
A Daonol trójai elsődleges feladata, hogy olyan módosításokat végezzen a Windowsban, amelyek révén - a lehető legészrevehetetlenebb módon - folyamatosan képessé válik a teljes hálózati adatforgalom naplózására. Az összegyűjtött információkat egy előre létrehozott fájlba menti el. A trójai azonban nem elégszik meg ennyivel, ugyanis egyes windowsos alkalmazásokat is megbénít. Így például használhatatlanná teszi a regisztrációs adatbázis szerkesztőjét, a parancssori ablakot, és minden com, bat kiterjesztésű állomány indítását blokkolja. Ezt követően a fertőzött számítógépekről elérhetetlenné teszi egyes biztonsági cégek weboldalait, majd kártékony fájlokat tölt le az Internetről.
Amikor a Daonol trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlt:
%CurrentFolder%\[szülőkönyvtár]\[véletlenszerű karakterek].[véletlenszerű karakterek]
2. A regisztrációs adatbázisban módosítja a következő értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\"aux" = "%CurrentFolder%\[szülő könyvtár]\[véletlenszerű karakterek].[véletlenszerű karakterek]
3. Minden újonnan létrejövő folyamatot megfertőz egy API segítségével.
4. Nem engedi futni azokat a folyamatokat, amelyek neve tartalmazza a következő karaktersorozatok valamelyikét:
.com
.bat
.reg
cmd
reged
5. A trójai eltávolítja saját magát, ha a folyamatok között talál olyat, amelyek nevében szerepel az alábbi karaktersorozatok valamelyike:
gmer
le38
6. Módosítja a következő fájlt annak érdekben, hogy folyamatosan figyelhesse a hálózati adatforgalmat:
%System%\ws2_32.dll
7. Webes keresők esetében átirányításokat végez olyan weboldalakra, amelyek reklámot is tartalmaznak.
8. Blokkolja a biztonsági cégek weboldalaihoz való hozzáférést.
9.A folyamatosan monitorozott hálózati adatforgalomból származó információkat egy fájlba gyűjti:
%System%\sqlsodbc.chm
10. Interneten keresztül kártékony állományokat tölt le. Hívja telefonszámaink valamelyikét, egyeztessen időpontot és számítógép szerelőnk házhoz megy elvégezni a computer karbantartást. Számítógép javításban az Ön partnere DarbyPc
Hibabejelentés:
Tel: 06/70-219-55-50,
Tel: 06/30-242-57-62,
Tel: 06/20-80-70-153
időpont egyeztetés, telefonos segítségnyújtás.
|
