Caphaw trójai

 E-mail
IWIWSatartlapGoogle bookmarkTwitterLinkter.huFacebookBlogter.hu
Vírus Hírek

Facebookon terjed a Caphaw trójai

A számítógépeket az internetes támadásokkal szemben kiszolgáltatottá tevő Caphaw.A trójai már a Facebookon is felbukkant.

A Caphaw.A trójai egyik legfontosabb terjedési csatornájának a Facebook számít. A kártékony program egyes profilok alatt jelenhet meg. A terjesztői egy online videónak próbálják álcázni, és az üzeneteikben egy hivatkozást is közzétesznek. Amennyiben a felhasználó erre rákattint, akkor egy olyan weboldal töltődik le a böngészőjébe, amelyről a kártékony program rákerülhet a számítógépre.

 

Az Isidor Biztonsági Központ jelentéséből kiderül, hogy a Caphaw.A elsősorban egy hátsó kapu létesítésére törekszik, és ezzel próbálja kiszolgáltatottá tenni az általa megfertőzött számítógépeket. A hátsó kapun keresztül a támadók a következő tevékenységek elvégzését kezdeményezhetik:
- fájlműveletek végrehajtása
- elosztott szolgáltatásmegtagadási támadásokban való részvétel
- a trójai frissítése
- a számítógép újraindítása vagy kikapcsolása
- a hálózati forgalom átirányítása
- FTP-szerverek elérése.

Amikor a Caphaw.A trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő könyvtárak valamelyikét:
%AppData%/adobe/linguistics/dictionaries/adobe custom dictionary/all/
%AppData%/adobe/linguistics/dictionaries/adobe custom dictionary/eng/
%AppData%/microsoft/cryptneturlcache/metadata/
%AppData%/microsoft/drm/
%AppData%/microsoft/excel/xlstart/
%AppData%/microsoft/internet explorer/
%AppData%/microsoft/office/
%AppData%/microsoft/word/

A mappába bemásol egy állományt az alábbi fájlnevek egyikének felhasználásával:
csrss.exe
eventvwr.exe
expand.exe
ie4uinit.exe
mem.exe
mobsync.exe
qappsrv.exe
route.exe
rundll32.exe
winmine.exe

2. Különböző mutexeket hoz létre annak érdekében, hogy egyszerre csak egy példányban fusson az érintett rendszeren.

3. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKCU/Software/Microsoft/Windows/CurrentVersion/Run/[véletlenszerű karakterek]=[a trójai elérési útvonala]

4. Lefuttatja a következő parancsot:
%System%/cmd.exe /c [telepítési könyvtár]/7.TMP.BAT

5. Megpróbálja megfertőzni az alábbi folyamatokat:
firefox.exe
iexplore.exe
explorer.exe
reader_sl.exe

6. Csatlakozik egy távoli szerverhez a 443-as TCP porton keresztül.

7. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.

 

A hír megjelenését a Biztonságportál támogatta.

< Előző   Következő >