Összefoglaló
Ez a program megfigyeli a felhasználó tevékenységét a számítógépen. Képes információt szerezni anélkül, hogy a felhasználó tudomást szerezne róla. Az összegyűjtött adatokat továbbítja a támadó részére.
Leírás
Ez a program megfigyeli a felhasználó tevékenységét a számítógépen. Képes információt szerezni anélkül, hogy a felhasználó tudomást szerezne róla. Az összegyűjtött adatokat továbbítja a támadó részére.
1. A program létrehoz egy bejegyzést (registry) a “HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon ” címen, ami minden egyes számítógép inditásnál lefut.
A következő fájlokat másolja a “%SystemRoot%system32mpk” mappába:
cinfo.bin
icon_1.ico
libeay32.dll
lnkmst.exe
lsynchost.exe
MPK.dll
MPK.exe
MPK64.dll
MpkHCA.dll
MpkHCQ12.dll
MPKInst.exe
MpkL64.exe
MPKView.exe
ogg.dll
sqlite3.dll
ssleay32.dll
unins000.dat
unins000.exe
unins000.msg
Vorbis.dll
vorbisenc.dll
vorbisfile.dll
zlib1.dll
Működés közben:
- Elküld egy figyelmesztetést e-mail-en, amikor különleges jelszavakat vagy mondatokat lát.
- Automatikusan képeket készít a monitoron lévő képről.
- Megfigyeli és megőrzi a futó alkalmazások listáját.
- Megfigyeli és megőrzi a chat szobákban és az instant üzeneteken folyó beszélgetéseket.
- Menti, hogy a felhasználó milyen felhasználóneveket és jelszavakat gépel be a billentyűzeten.
- Megfigyeli a vágólap tartalmát.
- Időközönként képet lop a felhasználó webkameráján látható éppen aktuális képről.
Ha a következő fájl megtalálható felhasználó rendszerében, akkor valószínűleg veszélynek van kitéve: “%SystemRoot%system32mpk”
Megoldás
Cserélje le a jelszavakat.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.microsoft.com