Összefoglaló
Az Eupuds trójai webböngészőkre épülő adatlopásra specializálódott. Ennek megfelelően folyamatosan figyeli a böngészési adatforgalmat, amiből értékes információkra igyekszik szert tenni. A trójai jelenleg az Internet Explorer, a Firefox és a Chrome szoftverekkel alatt működik.
A trójai elsősorban a live.com, a hotmail.com és a facebook.com weboldalak kapcsán mutat fokozott érdeklődést a hitelesítéshez használható adatok iránt. Ezeket begyűjti a felhasználó tudta nélkül a háttérben, majd rendszeres időközönként kiszivárogtatja az értékes információkat az adattolvajok szervereire.
A trójai az alábbi IP címekre küldi a megszerzett adatokat:
75.102.25.190
75.102.25.196
75.102.25.197
205.234.130.202
205.234.130.201
216.246.30.4
216.246.30.5
216.246.91.221
216.246.91.220
Leírás
1. Létrehozza a következő állományt:
%UserProfile%Application Data[véletlenszerű karakterek].exe
2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[véletlenszerű karakterek].exe” = “%UserProfile%Application Data[véletlenszerű karakterek].exe”
3. Folyamatosan monitorozza a következő webböngészők által generált webes adatforgalmat:
Internet Explorer
FireFox
Chrome
4. Megpróbál felhasználóneveket és jelszavakat összegyűjteni a következő weboldalakhoz:
live.com
hotmail.com
facebook.com
5. Az összegyűjtött adatokat feltölti előre meghatározott távoli kiszolgálókra.
Megoldás
Használjon vírusirtót és tűzfalat, és frissítse azokat.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com