VNC-t telepít a Mailfast trójai

A Mailfast trójai egy VNC alkalmazás telepítésével biztosít hozzáférést az általa megfertőzött számítógépekhez.

A Mailfast trójai adatbiztonsági szempontból komoly kockázatot jelent, ugyanis bizalmas adatok gyűjtéséből és jogosulatlan távoli hozzáférések biztosításából is kiveszi a részét. A kártékony program elsősorban jelszavak után kíváncsiskodik. Amennyiben azonban az általa megfertőzött számítógépen Outlook alkalmazás is található, akkor abból is megpróbál minél több adatot kinyerni. Mindeközben egy VNC szoftvert telepít, melynek révén a terjesztői minden nehézség nélkül tudnak csatlakozni az áldozatul esett PC-khez, és azokon különféle műveleteket hajthatnak végre.

Az Isidor Biztonsági Központ jelentése szerint a Mailfast a Windows System és Temp könyvtárából esetenként különböző állományokat töröl ki, majd a regisztrációs adatbázis manipulálásával próbálja meggyengíteni a rendszerek védelmét. Kikapcsolja a biztonsági riasztásokat, és megváltoztatja egyes alkalmazások biztonsági beállításait.

Amikor a Mailfast trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:

%Temp%/wxrun.exe

2. Kitörli az alábbi fájlokat a %System% és a %Temp% könyvtárakból:

vidhdw.exe

vrtdrv.exe

wdwapl.exe

wexprc.exe

winlng.exe

winxdrv.exe

wsndxp.exe

wxrun.exe

xddrv.exe

xdwdrv.exe

xpadp.exe

kiqwbv.exe

kerzll.exe

kavbp.exe

juwqp.exe

jrfgmy.exe

jovqg.exe

jidlq.exe

jebzmh.exe

jawrb.exe

ipartx.exe

imedev.exe

ikrext.exe

3. A regisztrációs adatbázishoz hozzáadja a következő értéket:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce/"wxrun" = "%Temp%/wxrun.exe"

4. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/DomainProfile/"DisableNotifications" = "1"

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/DomainProfile/"DoNotAllowExceptions" = "0"

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/"DisableNotifications" = "1"

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/"DoNotAllowExceptions" = "0"

5. A regisztrációs adatbázisban manipulálja a következő értékeket:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Security Center/"AllAlertsDisabled" = "1"

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Security Center/"DisableMonitoring" = "1"

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Security Center/Monitoring/"DisableMonitoring" = "1"

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Security Center/Monitoring/AhnlabAntiVirus/"DisableMonitoring" = "1"

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Security Center/Monitoring/ComputerAssociatesAntiVirus/"DisableMonitoring" = "1"

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Security Center/Monitoring/KasperskyAntiVirus/"DisableMonitoring" = "1"

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Security Center/Monitoring/McAfeeAntiVirus/"DisableMonitoring" = "1"

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Security Center/Monitoring/McAfeeFirewall/"DisableMonitoring" = "1"

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Security Center/Monitoring/PandaAntiVirus/"DisableMonitoring" = "1"

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Security Center/Monitoring/PandaFirewall/"DisableMonitoring" = "1"

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Security Center/Monitoring/SophosAntiVirus/"DisableMonitoring" = "1"

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Security Center/Monitoring/SymantecAntiVirus/"DisableMonitoring" = "1"

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Security Center/Monitoring/SymantecFirewall/"DisableMonitoring" = "1"

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Security Center/Monitoring/TinyFirewall/"DisableMonitoring" = "1"

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Security Center/Monitoring/TrendAntiVirus/"DisableMonitoring" = "1"

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Security Center/Monitoring/TrendFirewall/"DisableMonitoring" = "1"

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Security Center/Monitoring/ZoneLabsFirewall/"DisableMonitoring" = "1"

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/system/"EnableLUA" = "0"

6. A regisztrációs adatbázisban módosítja a következő bejegyzéseket:

HKEY_CURRENT_USER/Software/Microsoft/Office/10.0/Access/Security/"Level" = "1"

HKEY_CURRENT_USER/Software/Microsoft/Office/10.0/Outlook/Security/"Level1Remove" = ".bat;.com;.exe;.js;.jse;.reg;.vbe;.vbs"

HKEY_CURRENT_USER/Software/Microsoft/Office/11.0/Access/Security/"Level" = "1"

HKEY_CURRENT_USER/Software/Microsoft/Office/11.0/Excel/Security/"Level" = "1"

HKEY_CURRENT_USER/Software/Microsoft/Office/11.0/Outlook/Security/"Level" = "1"

HKEY_CURRENT_USER/Software/Microsoft/Office/11.0/Outlook/Security/"Level1Remove" = ".bat;.com;.exe;.js;.jse;.reg;.vbe;.vbs"

HKEY_CURRENT_USER/Software/Microsoft/Office/11.0/PowerPoint/Security/"Level" = "1"

HKEY_CURRENT_USER/Software/Microsoft/Office/11.0/Word/Security/"Level" = "1"

HKEY_CURRENT_USER/Software/Microsoft/Office/12.0/Access/Security/"Level" = "1"

HKEY_CURRENT_USER/Software/Microsoft/Office/12.0/Excel/Security/"Level" = "1"

HKEY_CURRENT_USER/Software/Microsoft/Office/12.0/Outlook/Security/"Level" = "1"

HKEY_CURRENT_USER/Software/Microsoft/Office/12.0/Outlook/Security/"Level1Remove" = ".bat;.com;.exe;.js;.jse;.reg;.vbe;.vbs"

HKEY_CURRENT_USER/Software/Microsoft/Office/12.0/PowerPoint/Security/"Level" = "1"

HKEY_CURRENT_USER/Software/Microsoft/Office/12.0/Word/Security/"Level" = "1"

HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/WindowsFirewall/DomainProfile/"DisableNotifications" = "1"

HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/WindowsFirewall/DomainProfile/"DoNotAllowExceptions" = "0"

HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/WindowsFirewall/StandardProfile/"DisableNotifications" = "1"

HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/WindowsFirewall/StandardProfile/"DoNotAllowExceptions" = "0"

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/W32Time/"FailureActions" = "[BINARY DATA]"

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ose/"Start" = "2"

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa/"forceguest" = "0"

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/HTTPFilter/"Start" = "2"

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/W32Time/Config/"LastClockRate" = "100144"

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/W32Time/Config/"MaxClockRate" = "100394"

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/W32Time/Config/"MinClockRate" = "99894"

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/W32Time/Parameters/"ServiceDll" = "%SystemDrive%/System32/w32time.dll"

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/W32Time/TimeProviders/NtpClient/"DllName" = "%SystemDrive%/System32/w32time.dll"

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/W32Time/TimeProviders/NtpServer/"DllName" = "%SystemDrive%/System32/w32time.dll"

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/wscsvc/"Start" = "4"

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/Memory Management/"ClearPageFileAtShutdown" = "1"

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Security Center/"UpdatesDisableNotify" = "0"

7. Amennyiben szükséges, akkor letölti a .Net Framework telepítőcsomagját.

8. Feltelepít egy VNC alkalmazást a távoli hozzáférések biztosítása érdekében.

9. Jelszavakat próbál összegyűjteni.

10. Adatokat másol ki az Outlook alkalmazásból.

11. A megszerzett bizalmas információkat feltölti egy távoli szerverre, vagy e-mailben elküldi azokat a terjesztői által létrehozott postafiókokba.

A hír megjelenését a Biztonságportál támogatta.