Összefoglaló
Az Egguard trójai a fertőzött számítógépre különböző ártalmas állományt tölt le és kártékony JavaScript kódot illeszt a megtekinteni kívánt honlapok forrásába.
Leírás
Az Egguard trójai WindowsSecurity nevű szolgáltatásként fut a fertőzött számítógépen. A megtévesztő elnevezés ellenére a szolgáltatás semmilyen módon sem tartozik a Windows operációs rendszer megfelelő működéséhez.
A trójai működésképtelenné teheti a Windows Bztonsági Központot, illetve az alapértelmezett tűzfalat.
A kártékony program közbeékelődéses támadás (man-in-the-middle) lehetővé tétele érdekében SSL tanúsítványt telepít a fertőzött eszközre, amellyel a támadók lehallgathatják, vagy manipulálhatják az adatforgalmat.
Technikai részletek:
A trójai az alábbi állományokat hozza létre:
- %ProgramData%MicrosoftNetworkDsqbrowsersyshostctl.exe
- %ProgramData%MicrosoftNetworkDsqchromelibvlc.dll
- %ProgramData%MicrosoftNetworkDsqchromevlc.exe
- %ProgramData%MicrosoftNetworkDsqchromework.dll
- %ProgramData%MicrosoftNetworkDsqfuncca.crt
- %ProgramData%MicrosoftNetworkDsqfuncca.key
- %ProgramData%MicrosoftNetworkDsqfunccert8.db
- %ProgramData%MicrosoftNetworkDsqfunccertutil.exe
- %ProgramData%MicrosoftNetworkDsqfuncfreebl3.dll
- %ProgramData%MicrosoftNetworkDsqfunckey3.db
- %ProgramData%MicrosoftNetworkDsqfunclibnspr4.dll
- %ProgramData%MicrosoftNetworkDsqfunclibplc4.dll
- %ProgramData%MicrosoftNetworkDsqfunclibplds4.dll
- %ProgramData%MicrosoftNetworkDsqfunclibvlc.dll
- %ProgramData%MicrosoftNetworkDsqfuncmsvcr100.dll
- %ProgramData%MicrosoftNetworkDsqfuncnss3.dll
- %ProgramData%MicrosoftNetworkDsqfuncnssckbi.dll
- %ProgramData%MicrosoftNetworkDsqfuncnssdbm3.dll
- %ProgramData%MicrosoftNetworkDsqfuncnssutil3.dll
- %ProgramData%MicrosoftNetworkDsqfuncsecmod.db
- %ProgramData%MicrosoftNetworkDsqfuncsmime3.dll
- %ProgramData%MicrosoftNetworkDsqfuncsoftokn3.dll
- %ProgramData%MicrosoftNetworkDsqfuncsqlite3.dll
- %ProgramData%MicrosoftNetworkDsqfuncssl3.dll
- %ProgramData%MicrosoftNetworkDsqfuncvlc.exe
- %ProgramData%MicrosoftNetworkDsqfuncwork.dll
- %ProgramData%MicrosoftNetworkDsqnetworkca.crt
- %ProgramData%MicrosoftNetworkDsqnetworkca.key
- %ProgramData%MicrosoftNetworkDsqnetworkdefault_cse.js
- %ProgramData%MicrosoftNetworkDsqnetworkgeneral.js
- %ProgramData%MicrosoftNetworkDsqnetworksysnetwk.exe
- %ProgramData%Windows Securitywinsecurity.exe
A következő bejegyzést teszi a registery-ben:
HKEY_LOCAL_MACHINESOFTWAREClientsMailChannelId = “egg19”
A trójai a [http://]85.195.78.241/36/dsq64_30[REMOVED] címről tölti le a további fertőzés céljából szükséges rosszindulatú fájlokat.
Támadás típusa
Manipulation of dataSystem access (Rendszer hozzáférés)
Trójai
man in the middle
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com