Érintett rendszerek
MicrosoftWindows 7
Windows Vista
Windows XP
Érintett verziók
Windows 2000, Windows 7, Windows NT, Windows Vista, Windows XP
Összefoglaló
A Hoardy egy trójai kártevő, amely hátsókaput nyit a fertőzött rendszeren, információt lop, valamint további kártékony fájlokat tölthet le.
Leírás
A Hoardy kártékony e-mail csatolmányok útján érkezik.
A következő fájlokat hozza létre:
%Temp%spoolsv.exe
%Temp%1.EXE
%Temp%wuauclt.exe
%Temp%spoolsv.exe
%Temp%csrssc.exe
%Temp%wmiprvse.exe
%UserProfile%Application DataMicrosoftWindowsrasauto.exe
C:Documents and SettingsAll UsersStart MenuProgramsStartupsys_log.log
C:Documents and SettingsAll UsersStart MenuProgramsStartupAdobe Gamma Loader.lnk
C:Documents and SettingsAll UsersStart MenuProgramsStartupsys_log.log
C:Documents and SettingsAll UsersStart MenuProgramsStartupOutlook.lnk
Az alábbi registry bejegyzéseket hozza létre:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAIN”DEPOff” = 0x00000001
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”infme” = “”%TEMP%wmiprvse.exe””
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerPhishingFilter”Enabled” = 0x00000001
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerPhishingFilter”ShownVerifyBalloon” = 0x00000003
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain”Check_Associations” = “no”
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain”DisableFirstRunCustomize” = 0x00000002
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain”Start Page” = “about:blank”
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerRecovery”AutoRecover” = 0x00000002
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings”IEHardenIENoWarn” = 0x00000000
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMap”IEHarden” = 0x00000000
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings”WarnOnPostRedirect” = 0x00000000
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings”WarnOnZoneCrossing” = 0x00000000
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3″2500″ = 0x00000003
Miután hátsókaput nyit a fertőzött számítógépen, a következő URL-ek valamelyikéhez próbál csatlakozni:
[http://]facebookhello.h1x.com/my[REMOVED]
[http://]www.teleramafr.com
[http://]site.belgiquede.com
A Hoardy a számítógép nevét és a Windows verzióját továbbítja a támadónak.
A támadótól kapott utasítások alapján parancsokat hajthat végre, illetve további káros tartalmú fájlokat tölthet le és futtathat a fertőzött rendszeren.
Megoldás
Rendszeresen frisítse a víruskereső adatbázisát.
Támadás típusa
Unspecified (Nem részletezett)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com