Összefoglaló
A Dustky egy olyan trójai, mely információkat lop, és más kártékony fájlokat tölt le a fertőzött számítógépre.
Leírás
A kártevő egy e-mail üzenettel érkezhet.
Mikor aktiválódik, létrehozza az alábbi állományokat:
- %Temp%[RANDOM DIGITS].exe
- %Temp%News.doc
Létrehozza a %Temp%temps mappát.
Létrehozza az alábbi regisztrációs bejegyzést, hogy a Windowsal együtt indulhasson:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[RANDOM EIGHT CHARACTER FILE NAME].[RANDOM THREE CHARACTER FILE EXTENSION]” = “%Temp%[RANDOM DIGITS].exe”
Kapcsolódik az alábbi vezérlőszerverekhez:
- [http://]news.buybit.us
- [http://]ksm5sksm5sksm5s.zzux.com
Ezek után az alábbi információkat juttatja el a vezérlőszervernek:
- Állomásnév
- Felhasználónév
- Campaign ID
- Unique ID
- Operációs rendszer verzió
- Telepített biztonsági szoftver
- Malware verzió
A kártevő naplózza a billentyűzet leütéseket, és a %Temp%temps helyen tárolja az adatokat mielőtt elküldi a vezérlőszervernek.
Megoldás
- Ne nyisson meg imeretlen feladótól érkező üzeneteteket.
- Használjon naprakész vírusírtó szofvert
Támadás típusa
TrójaiHatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com