Compfun trójai

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Microsoft

Összefoglaló

A Compfun trójai az adatlopásra alkalmas kártékony programok közé sorolható. A károkozó a felhasználó által megadott adatok iránt mutat érdeklődést. Ennek megfelelően folyamatosan naplózza a billentyűleütéseket, és rendszeresen képernyőképeket készít. Emellett a vágólap felett sem huny szemet, amelynek tartalmát szintén rendszeres időközönként lementi.

A Compfun a Windows egyik rendszerkönyvtárába, valamint az átmeneti fájlok tárolására szolgáló Temp mappába hozza létre a saját állományait. Eközben nyit egy hátsó kaput, és egy távoli vezérlőszerverrel épít ki kapcsolatot. Egyebek mellett ezen a kapcsolaton keresztül tudja kiszivárogtatni a megkaparintott adatokat.

Leírás

1. Létrehozza a következő állományokat:
%Temp%KB31545547.exe
%Temp%tmpB425.tmp
%Temp%~$tmpRestore.doc
%System%api-ms-win-downlevel-kzpe-l1-1-0._dl
%System%api-ms-win-downlevel-wmeu-l1-1-0._dl

2. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_CURRENT_USERSoftwareClassesCLSID{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}InprocServer32(Default) = C:Windowssystemapi-ms-win-downlevel-kzpe-l1-1-0._dl
HKEY_CURRENT_USERSoftwareClassesCLSID{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}InprocServer32ThreadingModel = Apartment
HKEY_CURRENT_USERSoftwareClassesWow6432NodeCLSID{BCDE0395-E52F-467C-8E3D-C4579291692E}(Default) = C:Windowssystemapi-ms-win-downlevel-wmeu-l1-1-0._dl
HKEY_CURRENT_USERSoftwareClassesWow6432NodeCLSID{BCDE0395-E52F-467C-8E3D-C4579291692E}ThreadingModel = Apartment

3. Csatlakozik egy távoli kiszolgálóhoz.

4. Nyit egy hátsó kaput.

5. Folyamatosan naplózza a billentyűleütéseket.

6. Képernyőképeket készít, és rendszeresen lementi a vágólap tartalmát.

7. Az összegyűjtött adatokat eljuttatja a terjesztőihez.

Megoldás

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com