Összefoglaló
Az Expilan trójai önmagában “mindössze” arra képes, hogy rendszerinformációkat gyűjtsön össze a fertőzött számítógépekről. Így kiszivárogtatja a számítógépre, az operációs rendszerre és a hálózatra vonatkozó legfontosabb információkat. Azonban amikor megfertőz egy PC-t, akkor ennyivel nem ér véget a történet, ugyanis a károkozó két további nemkívánatos szerzeményt is feltelepít. Az egyik a botnetek kialakításában és adatlopásban jeleskedő Zbot, míg a másik a kártevők letöltésére alkalmas Ponik trójai.
Az Expilan jelenlegi változata egy slideshow.exe nevű állomány formájában terjed elsősorban kártékony weboldalakon vagy spamelt elektronikus üzeneteken keresztül.
Leírás
1. Létrehozza a következő állományokat:
%Temp%IXP001.TMPpictures.exe
%Temp%IXP000.TMPAdobeR1.exe
%UserProfile%MicrosoftWindowsZ0xapp8T.tmpAdbrRader.exe
%UserProfile%MicrosoftWindowsZ0xapp8T.tmpAdobeIns.exe
%UserProfile%MicrosoftWindowsZ0xapp8T.tmpGoogleUpate.exe
%UserProfile%MicrosoftWindowsZ0xapp8T.tmpGooglUpd.exe
%UserProfile%MicrosoftWindowsZ0xapp8T.tmpnvisdvr.exe
%UserProfile%MicrosoftWindowsZ0xapp8T.tmpnvidrv.exe
%UserProfile%MicrosoftWindowsZ0xapp8T.tmprundl132.exe
%UserProfile%MicrosoftWindowsZ0xapp8T.tmpsvhosts.exe
%UserProfile%Application DataMicrosoftWindowswin32.tmpvgadmysadm.tmp
%UserProfile%Application DataMicrosoftWindowswin32.tmpvgosysaext.tmp
%UserProfile%Application DataMicrosoftWindowswin32.tmpvg2sxoysinf.tmp
%UserProfile%Application DataMicrosoftWindowswin32.tmpv2cgplst.tmp
2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
“UpdAdbreader” = “%UserProfile%MicrosoftWindowsZ0xapp8T.tmpnvidrv.exe”
HKEY_CURRENT_USERSoftwareMicrosoftDirect3DMostRecentApplication
“Name” = “pictures.exe”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlMediaResources
DirectSoundMixer DefaultsDirectSoundSpeaker Configuration”Speaker Configuration” = “140004”
HKEY_LOCAL_MACHINEsoftwareMicrosoftWindowsCurrentVersionRunOnce
“wextract_cleanup0” = “rundll32.exe %System%advpack.dll,DelNodeRunDLL32 %Temp%IXP000.TMP\”””
HKEY_LOCAL_MACHINEsoftwareMicrosoftWindowsCurrentVersionRunOnce
“wextract_cleanup1” = “rundll32.exe %System%advpack.dll,DelNodeRunDLL32 %Temp%IXP001.TMP\”””
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetHardware ProfilesCurrentSystemCurrentControlSetEnumPCI
VEN_8086&DEV_2415&SUBSYS_00008086&REV_01
HKEY_CURRENT_USERDefaultKeyboardUserF124-5KK83-F2IV9-FDN293
3. Különböző fényképeket jelenít meg.
4. Feltelepíti az alábbi két kártékony programot:
Zbot
Ponik
5. Rendszer- és hálózati információkat gyűjt össze.
6. Csatlakozik egy távoli kiszolgálóhoz.
7. Az összegyűjtött adatokat kiszivárogtatja.
Megoldás
Használjon vírusvédelmi programot és tűzfalat, illetve rendszeresen frissítse azokat.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.isbk.hu
Egyéb referencia: www.symantec.com
