A WinSupervisor kémprogram a billentyûzet segítségével megadott adatokat gyûjti össze, majd továbbítja azokat a támadók számára. A WinSupervisor kémprogram azon kártékony szoftverek közé sorolható, amelyek bizalmas információk megszerzésére törekszenek. A kártevő legfontosabb feladata ugyanis nem más, mint hogy a fertőzött számítógépekhez csatlakoztatott billentyûzet segítségével megadott adatokat gondosan összegyûjtse, majd egy előre meghatározott email címre elküldje a megszerzett információkat.
A WinSupervisor számtalan fájlt hoz létre az aktuálisan éppen bejelentkezett felhasználó könyvtáraiban, valamint a Windows "Program Files" mappájában. Ezt követően lát neki a regisztrációs adatbázis módosításának, amelyhez új kulcsokat és értékeket fûz hozzá. Ezzel többek között arról is gondoskodik, hogy a Windows minden egyes újraindulásakor automatikusan be tudjon töltődni.
Amikor a WinSupervisor kémprogram elindul, akkor az alábbi mûveleteket hajtja végre:
1. Létrehozza a következő állományokat.
%UserProfile%Local SettingsTemp[...].tmp
%UserProfile%Local SettingsTemp[...].tmp
%UserProfile%Start MenuProgramsWindows SupervisorOnline - Support, Updates, Register.lnk
%UserProfile%Start MenuProgramsWindows SupervisorUninstall Windows Supervisor.lnk
%UserProfile%Start MenuProgramsWindows SupervisorWindows Supervisor Help.lnk
%UserProfile%Start MenuProgramsWindows SupervisorWindows Supervisor.lnk
%ProgramFiles%Windows Supervisorhelp.chm
%ProgramFiles%Windows Supervisorkhk001.dll
%ProgramFiles%Windows Supervisorlibeay32.dll
%ProgramFiles%Windows Supervisorlicense.txt
%ProgramFiles%Windows Supervisoronline.url
%ProgramFiles%Windows SupervisorReadMe.txt
%ProgramFiles%Windows Supervisorshlapi.dll
%ProgramFiles%Windows Supervisorssleay32.dll
%ProgramFiles%Windows Supervisorunmsi.dll
%ProgramFiles%Windows Supervisorwinspvr.exe
%ProgramFiles%Windows Supervisorxxm32.dll
%Windir%Installer[RANDOM CHARACTERS].msi
2. Létrehozza az alábbi könyvtárat:
C:Documents and SettingsAll UsersApplication DataWindows Supervisor
3. A regisztrációs adatbázishoz hozzáfûzi a következő bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"Windows Supervisor" = "C:Program FilesWindows Supervisorwinspvr.exe"
4. A regisztrációs adatbázisban létrehozza az alábbi kulcsokat:
HKEY_CURRENT_USERSoftwareWindows Supervisor
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall{A7177905-E880-4A21-8C28-4B7E653C4537}
5. Folyamatosan naplózza a billentyûleütéseket.
6. Az összegyûjtött információkat elküldi egy előre meghatározott email címre.
A WinSupervisor számtalan fájlt hoz létre az aktuálisan éppen bejelentkezett felhasználó könyvtáraiban, valamint a Windows "Program Files" mappájában. Ezt követően lát neki a regisztrációs adatbázis módosításának, amelyhez új kulcsokat és értékeket fûz hozzá. Ezzel többek között arról is gondoskodik, hogy a Windows minden egyes újraindulásakor automatikusan be tudjon töltődni.
Amikor a WinSupervisor kémprogram elindul, akkor az alábbi mûveleteket hajtja végre:
1. Létrehozza a következő állományokat.
%UserProfile%Local SettingsTemp[...].tmp
%UserProfile%Local SettingsTemp[...].tmp
%UserProfile%Start MenuProgramsWindows SupervisorOnline - Support, Updates, Register.lnk
%UserProfile%Start MenuProgramsWindows SupervisorUninstall Windows Supervisor.lnk
%UserProfile%Start MenuProgramsWindows SupervisorWindows Supervisor Help.lnk
%UserProfile%Start MenuProgramsWindows SupervisorWindows Supervisor.lnk
%ProgramFiles%Windows Supervisorhelp.chm
%ProgramFiles%Windows Supervisorkhk001.dll
%ProgramFiles%Windows Supervisorlibeay32.dll
%ProgramFiles%Windows Supervisorlicense.txt
%ProgramFiles%Windows Supervisoronline.url
%ProgramFiles%Windows SupervisorReadMe.txt
%ProgramFiles%Windows Supervisorshlapi.dll
%ProgramFiles%Windows Supervisorssleay32.dll
%ProgramFiles%Windows Supervisorunmsi.dll
%ProgramFiles%Windows Supervisorwinspvr.exe
%ProgramFiles%Windows Supervisorxxm32.dll
%Windir%Installer[RANDOM CHARACTERS].msi
2. Létrehozza az alábbi könyvtárat:
C:Documents and SettingsAll UsersApplication DataWindows Supervisor
3. A regisztrációs adatbázishoz hozzáfûzi a következő bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"Windows Supervisor" = "C:Program FilesWindows Supervisorwinspvr.exe"
4. A regisztrációs adatbázisban létrehozza az alábbi kulcsokat:
HKEY_CURRENT_USERSoftwareWindows Supervisor
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall{A7177905-E880-4A21-8C28-4B7E653C4537}
5. Folyamatosan naplózza a billentyûleütéseket.
6. Az összegyûjtött információkat elküldi egy előre meghatározott email címre.
(Forrás: www.computerworld.hu)
