Összefoglaló
A Mentono egy olyan trójai, amely rosszindulatú weboldalakra irányítja át a felhasználókat. A trójai más malware-rel együtt letöltődhet a számítógépre, vagy rosszindulatú weboldalak felkeresésével fertőzhet.
Leírás
Amikor a trójai lefut a következő könyvtárakat hozza létre:
- %UserProfile%Local SettingsTempfolder[RANDOM CHARACTERS]
- %System%[RANDOM CHARACTERS][RANDOM CHARACTERS]
- %System%[RANDOM CHARACTERS]
- %UserProfile%Application Data[RANDOM CHARACTERS]
Ezt követően a trójai létrehozza következő fájlokat:
- %System%[RANDOM CHARACTERS][RANDOM CHARACTERS][RANDOM CHARACTERS].dat
- %UserProfile%Application Data[RANDOM CHARACTERS]uninstaller.exe
- %UserProfile%Local SettingsTempfolder[RANDOM CHARACTERS][RANDOM CHARACTERS].exe
- %UserProfile%Local SettingsTempfolder[RANDOM CHARACTERS][RANDOM CHARACTERS].dll
Majd módosítja a következő fájlt:
- %System%dnsapi.dll
Ezután létrehoz egy regisztrációs bejegyzést:
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”cmdrun” = “cmd.exe /C ipconfig /flushdns”
Ezt követően a trójai létrehozza a következő mutexeket:
- GlobalMatil da
- GlobalNopel Mento
A trójai átirányítja a felhasználók legitim weboldalakról a következő távoli helyekre:
- 107.178.255.88
- 107.178.247.130
- 107.178.248.130
Ezeken a helyeken további veszélynek van kitéve a számítógép kémprogramok és reklámprogramok által.
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
- Használjon offline biztonsági mentést!
- Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Trójai
execute code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com