Összefoglaló
Az Emotet.A egy olyan trójai, amellyel a rosszindulatú támadók különböző műveleteket végezhetnek a fertőzött számítógépen.
Leírás
A trójai az alábbi fájlokat hozza létre a fertőzött PC-n, mely fájlok megléte esetén fertőződhetett a számítógép:
- c:documents and settingsadministratorapplication data7989841.bat
- c:documents and settingsadministratorapplication datamicrosoftpkdsetup.exe
A káros kód a programkódot befecskendezi más futó programok kódjába, annak érdekében, hogy nehezebb legyen a felderítése. Az alábbi futó folyamatokba fecskendezhet kódot:
- _avpm.exe
- adware.exe
- antivirus.exe
- asktao.exe
- AUPDATE.EXE
- AVGW.EXE
- avp32.exe
- avpcc.exe
- blackice.exe
- ccenter.exe
- cmd.exe
- DRWEB32.EXE
- egui.exe
- ekrn.exe
- ElementClient.exe
- explorer.exe
- fsav.exe
- game.exe
- InoRT.exe
- kav.exe
Az Emotet.A az alábbi távoli helyekkel kísérli meg a kapcsolatfelvételt a 8080-as porton keresztül:
- 173.236.86.214
- 182.253.237.6
- 185.4.66.179
- 192.163.232.235
- 202.143.185.107
- 204.93.183.196
- 31.192.210.86
- 58.97.0.5
- 72.9.156.20
- 80.48.62.18
- 80.91.191.158
Általában a malware az alábbiakat teszi:
- kapcsolódik az Internethez
- jelenti az új fertőzést a készítőnek
- konfigurációs és egyéb adatokat küld
- letölt és futatt fájlokat, melyek akár további káros szoftverek is lehetnek
- fogadja a távoli támadó utasításait
- feltölt adatokat a fertőzött számítógépről
Megoldás
Használjon vírusírtót és tűzfalat, és rendszeresen frissítse azokat.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Other (Egyéb)
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.microsoft.com
