Összefoglaló
A Kotver trójai meglehetősen sok módosítást hajt végre a számítógépeken. E módosítások azonban mind azt a célt szolgálják, hogy végül a károkozó képes legyen reklámalapú csalásokba bekapcsolódni. Ennek során különféle hirdetéseket jelenít meg a PC-ken, majd azokra kattintási eseményeket generál teljesen automatikus módon.
Leírás
A Kotver megpróbálja kiaknázni a PowerShell scriptek futtatásában rejlő lehetőségeket, legalábbis akkor, ha a fertőzött számítógépen ehhez minden rendelkezésre áll. Ugyanakkor nem esik kétségbe akkor sem, ha a scirptjeit nem tudja lefuttatni, ugyanis ilyenkor egy fájl létrehozásával és elindításával kerüli meg a problémát.
A Kotver érdekessége, hogy a számítógépekre letölti, illetve feltelepíti az alábbi alkalmazások és szoftveres összetevők számára leginkább megfelelő verzióit:
Microsoft .NET Framework
Microsoft Internet Explorer
Adobe Flash Player
Technikai részletek:
1. Lekérdezi, hogy a számítógépen megtalálható-e a PowerShell.
2. Amennyiben igen, akkor a regisztrációs adatbázis alábbi kulcsait kiegészíti különféle értékekkel:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWARE[véletlenszerű karakterek]
3. Ha a rendszer nem alkalmas PowerShell scriptek futtatására, akkor felmásolja a számítógépre a következő fájlt:
%UserProfile%Application Data[véletlenszerű karakterek][véletlenszerű karakterek].exe
4. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun”[DEFAULT]” = “%UserProfile%Application Data[véletlenszerű karakterek][véletlenszerű karakterek].exe”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”[DEFAULT]” = “%UserProfile%Application Data[véletlenszerű karakterek][véletlenszerű karakterek].exe”
HKEY_LOCAL_MACHINESOFTWARE[véletlenszerű karakterek]”[véletlenszerű karakterek]” = “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)”
HKEY_CURRENT_USERSOFTWARE[véletlenszerű karakterek]”[véletlenszerű karakterek]” = “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)”
HKEY_LOCAL_MACHINESOFTWARE[véletlenszerű karakterek]”[véletlenszerű karakterek]” = “%UserProfile%Application Data[véletlenszerű karakterek][véletlenszerű karakterek].exe”
HKEY_CURRENT_USERSoftware[véletlenszerű karakterek]”[véletlenszerű karakterek]” = “%UserProfile%Application Data[véletlenszerű karakterek][véletlenszerű karakterek].exe”
HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMainFeatureControlFEATURE_BROWSER_EMULATION”iexplore.exe” = “22B8”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainFeatureControlFEATURE_BROWSER_EMULATION”iexplore.exe” = “22B8”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainFeatureControlFEATURE_BROWSER_EMULATION”regsvr32.exe” = “22B8”
HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMainFeatureControlFEATURE_BROWSER_EMULATION\”regsvr32.exe” = “22B8”
5. Elindítja, majd megfertőzi a Windows regsvr32.exe nevű folyamatát.
6. Kapcsolódik előre meghatározott távoli kiszolgálókhoz.
7. Különféle alkalmazásokat tölt le a számítógépre.
8. Kattintás alapú csalásokban vesz részt.
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
- Használjon offline biztonsági mentést!
- Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool
Támadás típusa
Trójaibackdoor
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com