Po okužbi se zlonameren program skopira v mapo c:\wndows, ter ustvari zagonski ključ v registru. V določenih sistemih okužbo skrije s t.i. rootkit tehnologijo, tako da niti zagonski ključ niti mapa c:\wndows z običajnimi orodji nista vidna. Zlonamerno kodo injicira v legitimna procesa explorer.exe in svchost.exe, s čimer še dodatno skrije svojo prisotnost.
Identifikacija okužbe
Okužbo z zlonamernim programom, ki so ga analizirali na SI-CERT, lahko uporabniki identificirajo s preverjanjem prisotnosti mape c:\wndows (POZOR: gre za podobno ime kot pri sistemski mapi c:\windows, le ta v tem primeru ime ne vsebuje črke i). Mapa ima nastavljen skrit atribut, na nekaterih sistemih je dodatno skrita z rootkitom. Okužba se najlažje identificira preko ukazne vrstice (START -> cmd.exe), z vpisom ukaza
cd \wndows
V primeru okužbe ukazna vrstica ne bo vrnila napake.
Okužba:
Ni okužbe:
Odstranitev okužbe
Okužbo se lahko odstrani v varnem način (Safe Mode) z odstranitvijo ali preimenovanjem mape c:\wndows.
1. Ponovno zaženite računalnik. Ob zagonu Widows sistema, tik preden se prikaže Windows logotip, pritisnite tipko "F8".
2. V meniju izberite "Safe Mode With Command Prompt" in pritisnite Enter
3. Če se vam prikaže prijavno okno, se prijavite v sistem, nato pa počakajte, da na zaslonu prikaže ukazna vrstica.
4. Mapo, v kateri se nahaja zlonameni program, lahko izbrišete z ukazom:
rmdir /s c:\wndows
POZOR: pazite da ne vpišete imena mape windows – v tem primeru boste uničili celoten operacijski sistem!
5. Sistem ponovno zaženite in preglejte s posodobljenim antivirusnim programom.
Uporabnikom, ki na sistemu najdejo znake okužbe, svetujejo da prekličejo digitalni certifikat za dostop do spletne banke. Glede tega postopka naj se uporabniki obrnejo na svojo banko.
Zaščita
Uporabnike pozivajo, da ob kakršnemkoli neobičajnem obnašanju elektronske banke takoj prekinejo povezavo in kontaktirajo svojo banko.
Digitalnih certifikatov naj ne shranjujejo na disku računalnika, ampak na t.i. pametni kartici ali pametnem USB ključu. Po uvozu digitalnega certifikata na tako napravo izvoz ali kraja zasebnega ključa iz naprave ni več možen. V primeru uporabe pametnih kartic oz. pametnih USB ključev je za večjo varnost izrednega pomena, da se po končani uporabi spletne banke naprava vedno fizično odklopi iz računalnika.
V namen zaščite sistema naj uporabniki tudi redno nameščajo zadnje popravke operacijskega sistema, izbranega brskalnika, ter njegovih vtičnikov. Hkrati naj se izogibajo izvajanju programske opreme neznanega izvora, saj lahko tudi slednja vsebuje škodljivo programsko opremo. Priporočamo tudi redno izvajanje varnostnih kopij sistema.
