Összefoglaló
Az Lmir.UA egy olyan trójai, amely kifejezetten személyes adatokat lop el (például online játékok felhasználói nevei és jelszavai), és ezeket az információkat egy távoli támadónak továbbítja.
Leírás
A PWS:Win32/Lmir.UA trójai lemásolja magát az alábbi helyekre:
- %programfiles%common filessystemadolsasss.exe
- %programfiles%common filessystemadoserver32.exe
- c:rundll.exe
A vírus a következő fájlokat hozza létre a felhasználó számítógépén:
- %programfiles%common filessystemole dbicuc32.dll
- %programfiles%common filessystemole dbicucd32.dll
- %programfiles%common filessystemole dbservers.exe
A vírus káros kóddal fertőzi meg a ctfmon.exe-t.
A trójai megkísérli ellopni a népszerű online játékok jelszavát és a profil egyéb adatait, majd ezeket továbbítja egy távoli támadónak.
A távoli felhasználó adatai:
A vírus megpróbál kapcsolódni a mab76939402.idc600.cn címhez a 80-as porton kereszül, és általában a következőket teszi:
- Jelenti az új, megfertőzött felhasználót
- Fogadja a konfigurációs és egyéb adatokat
- Fájlokat tölt le és futtat
- Fogadja a távoli támadó instrukcióit
- Feltölt adatokat a felhasználó PC-jéről
Az alábbi fjlok jelenléte figyelmezető jel lehet:
- %programfiles%common filessystemadolsasss.exe
- %programfiles%common filessystemadoserver32.exe
- %programfiles%common filessystemole dbicuc32.dll
- %programfiles%common filessystemole dbicucd32.dll
- %programfiles%common filessystemole dbservers.exe
- c:rundll.exe
Megoldás
Naprakész vírusírtó szoftver telepítése.
Támadás típusa
Information disclosure (Információ/adat szivárgás)System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.microsoft.com