Összefoglaló
A Rerdom trójai egy jól behatárolható cél érdekében terjed. Az áldozatául eső rendszereket igyekszik bevonni olyan csalásokba, amelyek révén a vírusterjesztők anyagi bevételhez juthatnak. A kártékony program elsősorban online hirdetésekkel próbál trükközni, és kattintás alapú csalásokkal igyekszik hozzájárulni a kiszemelt célpontok megkárosításához.
Leírás
A Rerdom egy távoli szerverről szerzi be azokat az információkat (jelesül URL-eket), amelyek révén a csalásokba be tud kapcsolódni. Vagyis a terjesztői pontosan meghatározhatják, hogy milyen módon kell a károkozónak bevételre szert tennie.
A Rerdom számos fájlt hoz létre a rendszereken és ütemezett feladatokkal is megpróbál trükközni, hogy a háttérben, automatikusan elindulhasson, és észrevétlenül végezhesse a dolgát.
Technikai részletek:
1. Létrehozza a következő állományokat:
%SystemDrive%Documents and SettingsAll UsersApplication DataGyobqoce
%SystemDrive%Documents and SettingsAll UsersApplication DataGyobqoceovonx.exe
%SystemDrive%Documents and SettingsAll UsersApplication DataLaqixea
%SystemDrive%Documents and SettingsAll UsersApplication DataLaqixeayzmiylq.exe
%UserProfile%Local SettingsTemporary Internet FilesContent.IE5K9QRKXI3�8230c6830948e3dd25f948b[1].txt
%Windir%TasksSecurity Center Update – 1365537861.job
%Windir%TasksSecurity Center Update – 2710767946.job
%System%utvianpefo.exe
%System%uxvuemtar.exe
2. A regisztrációs adatbázis alábbi kulcsaihoz új értékeket fűz hozzá:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesSecurityCenterServer2710767946
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesSecurityCenterServer1365537861
HKEY_LOCAL_MACHINESystemCurrentControlSetEnumRootLEGACY_SECURITYCENTERSERVER2710767946
HKEY_LOCAL_MACHINESystemCurrentControlSetEnumRootLEGACY_SECURITYCENTERSERVER1365537861
3. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”Yxipekokcyw” = “”%SystemDrive%Documents and SettingsAll UsersApplication DataLaqixeayzmiylq.exe””
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”Emomdycufy” = “”%SystemDrive%Documents and SettingsAll UsersApplication DataGyobqoceovonx.exe””
HKEY_LOCAL_MACHINESoftwareDguqszfqxx”License” = “1bc”
HKCUSoftwareMicrosoftWindowsCurrentVersionRun”Emomdycufy” = “”%SystemDrive%Documents and SettingsAll UsersApplication DataGyobqoceovonx.exe””
HKEY_CURRENT_USERSoftwareDguqszfqxx”License” = “1bc”
4. A regisztrációs adatbázisból kitörli az alábbi kulcshoz tartozó bejegyzéseket:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlSafeBoot
6. Csatlakozik távoli kiszolgálókhoz, amelyekről fájlokat tölt le. Az így beszerzett információk között URL-ek is feltűnnek.
7. Kattintás alapú csalásokba vonja be a fertőzött számítógépet.
Megoldás
Antivírus szoftverét tartsa naprakészen.
Támadás típusa
Hijacking (Visszaélés)backdoor
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com
