A Spyrat freg kszti a krtkony programjukat arra ksztettk fel, hogy az minl szlesebb krben tudjon terjedni cserlhet meghajtkon, pldul pendrive-okon keresztl. Emellett az internetes vrusterjesztsre is gondoltak, hiszen a Spyrat alkalmas fjlcserl szolgltatsokon val terjedsre is. Ezrt a Spyrat tbbek kztt mr a Limewire-en is megjelent.
Az Isidor Biztonsgi Kzpont szerint a freg elssorban azzal jelent veszlyt a szmtgpekre, hogy azokon egy hts kaput nyit, amelyen keresztl a tmadk az albbi mveleteket hajthatjk vgre:
- fjlok rsa, olvassa s vgrehajtsa
- jelszavak eltulajdontsa
- webkamerk aktivlsa s megfigyelse
- billentyletsek naplzsa
- HTTP proxy ltrehozsa.
A fentiekbl lthat, hogy a Spyrat alkalmas arra, hogy bizalmas informcikat szivrogtasson ki. Mindezt radsul gy teszi, hogy abbl lehetleg a fertztt szmtgp felhasznlja semmit se vegyen szre. Klnfle, jl ismert folyamatokat fertz meg, s azok mgl vgzi a tevkenysgt, valamint a regisztrcis adatbzisban ltrehozott bejegyzseit rootkit sszetevk rvn igyekszik elrejteni.
Amikor a Spyrat freg elindul, akkor az albbi mveleteket hajtja vgre:
1. Ltrehozza a kvetkez llomnyokat:
%Temp%\UuU.uUu
%Temp%\XX--XX--XX.txt
%Temp%\XxX.xXx
C:\Dir\install\server.exe
2. A regisztrcis adatbzishoz hozzfzi tbbek kztt az albbi bejegyzst:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\"Policies" = "c:\dir\install\server.exe"
3. Nyit egy hts kaput, s vrakozik a tmadk parancsaira.
4. Rootkit komponens segtsgvel elrejti azokat a regisztrcis adatbzisban szerepl bejegyzseket, amelyek "SPY_NET_RAT" karaktersorozattal kezddnek.
5. Megfertz egy folyamatot (legtbbszr az iexplore.exe nevt), s ezzel biztostja, hogy a httrben mindig fusson.
6. Ltrehoz egy mutexet annak rdekben, hogy egyszerre csak egy pldnyban fusson a kiszemelt rendszeren.
7. Felmsolja a sajt llomnyait a csatlakoztatott, cserlhet meghajtkra.
8. Bemsolja magt a teleptett fjlcserl alkalmazsok megosztott knyvtraiba.
AJÁNLOM AZ OLDALT
