Wirusy korzystające z płyt Sony CD nadal się rozprzestrzeniają

Wydano najnowszy wariant trojana Ryknos, który wykorzystuje rootkita na niektórych płytach CD Sony do ukrywania się na zainfekowanych komputerach.

Najbardziej niebezpieczną cechą trojana Ryknos.B jest to, że potrafi bardzo skutecznie ukrywać się na zainfekowanych komputerach. Osiąga się to przede wszystkim poprzez ukrywanie się za programem rootkit na niektórych płytach CD Sony, więc często może pozostać niewidoczny nawet dla oprogramowania antywirusowego. Najlepszą obroną przed trojanami jest zapobieganie, ponieważ gdy już są na komputerze, bardzo trudno jest je pisać.

Ryknos.B otwiera tylne drzwi na zainfekowanych komputerach, przez które atakujący mogą uzyskać dostęp do informacji oraz pobierać i uruchamiać pliki.

Inne znane nazwy Ryknos.B to Troj / Stinx-F [Sophos], BKDR_BREPLIBOT.D [Trend Micro], Breplibot.C [F-Secure].

Po uruchomieniu Ryknos.B wykonuje następujące czynności:

1. Skopiuj się do katalogu systemu Windows jako $ sys $ xp.exe.

2. Użyj oprogramowania XCP na płytach Sony CD, aby ukryć wszelkie zmiany wprowadzone w bazie danych rejestracji.

3. Tworzy dwa muteksy, aby uruchomić tylko jedną instancję na raz.

4. Baza danych rejestracyjnych
HKEY_LOCAL_MACHINE \ OPROGRAMOWANIE \ Microsoft \ Windows \ Bieżąca wersja \ Run
HKEY_CURRENT_USER \ OPROGRAMOWANIE \ Microsoft \ Windows \ CurrentVersion \ Run
dodaje do twojego klucza
„$ Sys $ cmp” = „$ sys $ xp.exe”.

5. Wysyła powiadomienie przez port TCP 8080.

6. Dodaj siebie do listy zaufanych aplikacji wbudowanej zapory systemu Windows.

7. Otwiera tylne drzwi przez IRC, przez które atakujący mogą wykonać następujące czynności:
- zbieranie informacji o systemie z zainfekowanych komputerów PC
- pobieraj i uruchamiaj pliki.