Összefoglaló
A Nitovel trójai egy régóta ismert trükköt alkalmaz ahhoz, hogy a rendszereken minél kevesebb feltűnést keltsen. A kártékony program az ADS (Alternate Data Streams) adta előnyökkel él vissza, és a felhasználó Temp könyvtára mögé igyekszik elrejtőzni. Ennek következtében a Windows Intézőben, illetve a hagyományos fájlkezelő alkalmazásokban sem látható az a két állománya, amelyek a trójai működéséhez elengedhetetlenek.
Leírás
A Nitovelnek mindössze egy feladata van, de azt üzembiztosan képes elvégezni. A károkozó a rendszeren futó folyamatokhoz tartozó memóriaterületeket kémleli, és bank-, illetve hitelkártyákhoz tartozó (track 1, track 2) adatokat próbál kigyűjteni. Amennyiben ez sikerül számára, akkor az értékes információkat – titkosított csatornán keresztül – feltölti távoli kiszolgálókra.
Technikai részletek
1. Felmásolja a rendszerre a saját kódját a következők szerint:
%UserProfile%Local SettingsTemp:defrag.scr
%UserProfile%Local SettingsTemp:defrag.vbs
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_LOCAL_MACHINELMSOFTWAREMicrosoftWindowsCurrentVersionRun”Defrag” = “wscript %UserProfile%Local SettingsTemp:defrag.vbs”
3. Bank- és hitelkártyákhoz kapcsolódó adatokat keres egyes folyamatokhoz tartozó memóriaterületek folyamatos monitorozásával.
4. Az összegyűjtött adatokat feltölti előre meghatározott távoli kiszolgálókra. Ehhez titkosított, HTTPS kapcsolatot használ.
Megoldás
Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com
