Virus, der bruger Sony CD'er, spreder sig fortsat

Den seneste variant af Ryknos Trojan er udgivet, som bruger rootkit på nogle cd'er fra Sony til at skjule sig på inficerede computere.

Det farligste træk ved Ryknos.B Trojan er, at det kan skjule meget effektivt på inficerede pc'er. Dette opnås primært ved at gemme sig bag rootkit -programmet på nogle af Sonys cd'er, så det ofte kan forblive usynligt selv for antivirussoftware. Det bedste forsvar mod trojanere er forebyggelse, for når det først er på din pc, er det meget svært at skrive.

Ryknos.B åbner en bagdør på inficerede computere, hvorigennem angribere kan få adgang til oplysninger og downloade og køre filer.

Andre kendte navne for Ryknos.B er Troj / Stinx-F [Sophos], BKDR_BREPLIBOT.D [Trend Micro], Breplibot.C [F-Secure].

Når Ryknos.B starter, udfører den følgende handlinger:

1. Kopier sig selv til Windows System -biblioteket som $ sys $ xp.exe.

2. Brug XCP -softwaren på Sony -cd'erne til at skjule alle ændringer, du foretager i registreringsdatabasen.

3. Opretter to mutexes til kun at køre én forekomst ad gangen.

4. Registreringsdatabasen
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVe rsion \ Run
føjer til din nøgle
“$ Sys $ cmp” = “$ sys $ xp.exe”.

5. Sender en meddelelse over TCP -port 8080.

6. Føj dig selv til listen over pålidelige applikationer til Windows indbygget firewall.

7. Åbner en bagdør gennem IRC, hvorigennem angribere kan udføre følgende handlinger:
- indsamling af systeminformation fra inficerede pc'er
- download og eksekver filer.