Népszerű alkalmazásokból lopkod a Dofoil trójai

A Dofoil.D trójai az adatlopásra alkalmas kártékony programok közé tartozik. A készítői elsősorban azzal a céllal hozták létre, hogy minél több bizalmas adatra tehessenek szert. A károkozójuk működéséből az látszik, hogy főként FTP-szerverekhez valamint levelezőszolgáltatásokhoz szerettek volna hozzáférni.

Az Isidor Biztonsági Központ közleménye kitér arra, hogy Dofoil.D trójai széles körben elterjedt szoftverekből való adatlopásra alkalmas. Így többek között az alábbi programokból igyekszik kigyűjteni az elmentett felhasználóneveket és jelszavakat:
Bullet Proof FTP
FileZilla
Microsoft Outlook
SmartFTP
Total Commander
Windows Commander

A Dofoil.D leginkább kéretlen elektronikus levelek mellékleteként terjed. Ezekben az e-mailekben egy Ticket.zip nevű tömörített fájl található, amely egy Ticket.exe állományt tartalmaz.

Amikor a Dofoil.D trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%AppData%/AE506B.exe

2. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run[véletlenszerű karakterek]="%Appdata%/AE506B.exe"

3. Egyes állományokat letöröl a fertőzött számítógépekről. Ezek a fájlok főként a trójaival együtt kerülhetnek fel a számítógépekre (pl.: Ticket.zip).

4. Előkészületeket végez bizalmas adatok eltulajdonítása érdekében. Ennek során feltérképezi a számítógépre telepített alkalmazásokat.

5. A telepített szoftvereknek megfelelően adatgyűjtésbe kezd. Elsősorban felhasználóneveket és jelszavakat próbál megkaparintani.

6. A megszerzett bizalmas adatokat feltölti egy távoli szerverre.

-vége-

A hír megjelenését a Biztonságportál támogatta.