Összefoglaló
A Nurjax trójai elsősorban a felhasználó webböngészési szokásait kémleli. Ennek során töretlenül figyelemmel kíséri a fertőzött számítógépről megnyitott weboldalakat. Bizonyos weblapok esetén átirányításokat hajt végre egy kártékony weboldalra. Így például a Google keresésekkor vagy az AOL weboldalainak megtekintésekor is aktivizálódik, és nemkívánatos webhelyekre vezeti a felhasználót. Egyéb weblapok esetén pedig egy hivatkozást szúr be a megjelenő oldalba.
Leírás
A Nurjax elsősorban a Program Files mappába általa létrehozott NJax nevű könyvtárba másolja be a saját fájljait, majd sok ponton manipulálja a regisztrációs adatbázist. Eközben néhány Windows-os szolgáltatást is beregisztrál, amikkel biztosítja, hogy a háttérben zavartalanul futhasson.
1. Létrehozza a következő állományokat:
%ProgramFiles%NJaxNJax.exe
%ProgramFiles%NJaxProtocolFilters.dll
%ProgramFiles%NJaxlibeay32.dll
%ProgramFiles%NJaxnfapi.dll
%ProgramFiles%NJaxnfregdrv.exe
%ProgramFiles%NJaxssleay32.dll
%ProgramFiles%NJaxuninstall_njax.exe
%System%driversmosfilterdrv.sys
%Temp%NJaxSSLNJax Intermediate SSL.cer
%Temp%NJaxSSLNJax Intermediate SSL.pvk
2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNJax”DisplayName” = “NJax”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNJax”ErrorControl” = “1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNJax”ImagePath” = “%ProgramFiles%NJaxNJax.exe”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNJax”ObjectName” = “LocalSystem”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNJax”Start” = “2”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNJax”Type” = “16”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNJaxSecurity”Security” = “[BINARY DATA]”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmosfilterdrv”DisplayName” = “mosfilterdrv”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmosfilterdrv”ErrorControl” = “1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmosfilterdrv”Group” = “PNP_TDI”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmosfilterdrv”ImagePath” = “system32driversmosfilterdrv.sys”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmosfilterdrv”Start” = “1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmosfilterdrv”Tag” = “9”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmosfilterdrv”Type” = “1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmosfilterdrvSecurity”Security” = “[BINARY DATA]”
3. Létrehoz két Windows-os szolgáltatást a következők szerint:
mosfilterdrv (%System%driversmosfilterdrv.sys)
NJax (%ProgramFiles%NJaxNJax.exe)
4. A regisztrációs adatbázisba beszúrja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOSFILTERDRV
“NextInstance” = “1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOSFILTERDRV�000
“Class” = “LegacyDriver”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOSFILTERDRV�000
“ClassGUID” = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOSFILTERDRV�000
“ConfigFlags” = “0”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOSFILTERDRV�000
“DeviceDesc” = “mosfilterdrv”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOSFILTERDRV�000
“Legacy” = “1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOSFILTERDRV�000
“Service” = “mosfilterdrv”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NJAX”NextInstance” = “1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NJAX�000″Class” = “LegacyDriver”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NJAX�000″ClassGUID” = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NJAX�000″ConfigFlags” = “0”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NJAX�000″DeviceDesc” = “NJax”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NJAX�000″Legacy” = “1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NJAX�000″Service” = “NJax”
5. Módosítja az Internet Explorer beállításait:
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet SettingsConnections”SavedLegacySettings” = “[BINARY DATA]”
6. Létrehozza az alábbi értékeket a regisztrációs adatbázisban:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallNJax
“Comments” = “Browse safe online with our product! It alerts you if a page is harmful for your computer (Build ID: rSRyjmkbAFar8QUk)”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallNJax
“DisplayName” = “NJax”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallNJax
“DisplayVersion” = “1.1.0”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallNJax
“Publisher” = “NINJASOFT LLC”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallNJax
“QuietUninstallString” = “”%ProgramFiles%NJaxuninstall_njax.exe” S”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallNJax
“UninstallString” = “”%ProgramFiles%NJaxuninstall_njax.exe” S”
HKEY_LOCAL_MACHINESOFTWARENJax”InstID” = “rOb0MBQXandPo6jVmKF4liSfWieXYvDD”
HKEY_LOCAL_MACHINESOFTWARENJax”Version” = “1.1.0”
7. Csatlakozik egy előre meghatározott távoli kiszolgálóhoz.
8. Letölt egy fájlt, amelyet az alábbiak szerint ment le:
%Temp%P_RuleList.txt
9. Folyamatosan monitorozza a webböngészést, és bizonyos weboldalak esetén átirányításokat hajt végre.
10. Manipulálja a webböngészőben megjelenő oldalakat, amelyekbe egy hivatkozást szúr be.
11. Letölt egy további állományt az alábbiak szerint:
%Temp%nj_update.exe
12. Ellenőrzi, hogy a számítógépen fut-e Avast védelmi alkalmazás.
Megoldás
Vírusirtó segítségével távolítsa el a fertőzést.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.isbk.hu
