A Sasfis trójai további kártékony programokkal halmozza el a már amúgy is fertőzött számítógépeket. A Sasfis trójai azon kártékony programok közé sorolható, amelyek káros letöltéseket végeznek azzal a céllal, hogy további rosszindulatú kódokat tudjanak feljuttatni a kiszolgáltatott számítógépekre. Ezzel jelentősen képesek elősegíteni egyéb kártevők terjedését is. A Sasfis érdekessége, hogy a számítógépek megfertőzéséhez egy VBA-szkriptet is használ, amelyet Wordben tud lefuttatni. Ezért amennyiben található Word alkalmazás a kiszemelt rendszeren, akkor betölti a szövegszerkesztőt, és elindítja a VBA-kódot.
Az Isidor Biztonsági Központ szerint a Sasfis a 80-as TCP-porton keresztül csatlakozik távoli szerverekhez, majd azokról tölti le a kártékony fájlokat. A trójai kezdetben egy "1.tmp" nevû fájlként jelenik meg a rendszerek Temp könyvtárában, majd később az svchost.exe nevû folyamat mögül végzi a tevékenységét, így a Feladatkezelőben nem látható.
Amikor a Sasfis trójai elindul, akkor az alábbi mûveleteket hajtja végre:
1. Létrehozza a következő állományt:
%Temp%1.tmp
2. A regisztrációs adatbázisban módosítja az alábbi bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftOffice11.0WordSecurity"AccessVBOM" = "1"
3. Elindítja a Microsoft Word alkalmazását (amennyiben az megtalálható a fertőzött rendszeren), és lefuttat egy VBA scriptet.
4. Betölti egy svchost.exe fájlt, amelyet megfertőz.
5. Létrehozza a következő fájlt:
%System%[véletlenszerû név].[véletlenszerû kiterjesztés]
6. A regisztrációs adatbázishoz hozzáfûzi az alábbi kulcsot:
HKEY_CLASSES_ROOTidid
7. A regisztrációs adatbázisban módosítja a következő értéket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"Shell" = " Explorer.exe rundll32.exe %System%[RANDOMLY NAMED FILE] [5 OR 6 RANDOM CHARACTERS]"
8. Letörli azt a fájlját, amelynek révén eredetileg felkerült a rendszerre.
9. Csatlakozik egy távoli szerverhez a 80-as TCP porton keresztül.
10. Interneten keresztül további fájlokat tölt le, majd futtat.
Az Isidor Biztonsági Központ szerint a Sasfis a 80-as TCP-porton keresztül csatlakozik távoli szerverekhez, majd azokról tölti le a kártékony fájlokat. A trójai kezdetben egy "1.tmp" nevû fájlként jelenik meg a rendszerek Temp könyvtárában, majd később az svchost.exe nevû folyamat mögül végzi a tevékenységét, így a Feladatkezelőben nem látható.
Amikor a Sasfis trójai elindul, akkor az alábbi mûveleteket hajtja végre:
1. Létrehozza a következő állományt:
%Temp%1.tmp
2. A regisztrációs adatbázisban módosítja az alábbi bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftOffice11.0WordSecurity"AccessVBOM" = "1"
3. Elindítja a Microsoft Word alkalmazását (amennyiben az megtalálható a fertőzött rendszeren), és lefuttat egy VBA scriptet.
4. Betölti egy svchost.exe fájlt, amelyet megfertőz.
5. Létrehozza a következő fájlt:
%System%[véletlenszerû név].[véletlenszerû kiterjesztés]
6. A regisztrációs adatbázishoz hozzáfûzi az alábbi kulcsot:
HKEY_CLASSES_ROOTidid
7. A regisztrációs adatbázisban módosítja a következő értéket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"Shell" = " Explorer.exe rundll32.exe %System%[RANDOMLY NAMED FILE] [5 OR 6 RANDOM CHARACTERS]"
8. Letörli azt a fájlját, amelynek révén eredetileg felkerült a rendszerre.
9. Csatlakozik egy távoli szerverhez a 80-as TCP porton keresztül.
10. Interneten keresztül további fájlokat tölt le, majd futtat.
(Forrás: www.computerworld.hu)
