Összefoglaló
A Drover trójai speciálisan összeállított, RTF-formátumú fájlok révén terjed. Amikor a felhasználó megnyit egy ilyen állományt, akkor lefut egy exploit, és a nem naprakészen tartott rendszereken elindul a fertőzési folyamat. Ennek során egy Mdropper nevű trójai letölti a Drover alapkódját, ami aztán további állományokat juttat fel a PC-re. A többlépcsős fertőzés végén egy olyan károkozó kerül fel a rendszerre, amely adatlopást segíthet elő.
Leírás
A Drover alapvetően a billentyűleütések folyamatos naplózásából szerzi be az értékes információkat. Emellett azonban rendszeres időközönként képernyőképeket is lement. Az összegyűjtött adatokat pedig interneten keresztül továbbítja a terjesztői számára.
Technikai részletek:
1. A regisztrációs adatbázishoz hozzáadja a következő bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”System Application” = %SystemDrive%systemWindowsSecurityService2.exe
2. Kapcsolódik egy távoli kiszolgálóhoz.
3. Nyit egy hátsó kaput.
4. További állományokat tölt le, amiket az alábbiak szerint ment le:
%SystemDrive%systemcxcore210.dll
%SystemDrive%systemhighgui210.dll
%SystemDrive%systemlibsndfile-1.dll
%SystemDrive%systemopenal32.dll
%SystemDrive%systemWindowsSecurityService2.exe
5. Képernyőképeket készít.
6. Naplózza a billentyűleütéseket.
7. Az összegyűjtött adatokat feltölti egy kiszolgálóra.
8. Frissíti a saját kódját.
Megoldás
- Használjon naprakész vírusírtót!
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket)!
- Használjon offline biztonsági mentést!
- Az eltávolításban segítséget nyújthat: Run Norton Power Eraser (NPE)
Támadás típusa
Trójaibackdoor
Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com
