Összefoglaló
A Ponmocup egy trójai, mely további kártékony programokat telepít a számítógépre.
Leírás
Létrehozza az alábbi állományokat:
- %SystemRoot% tempscse.tmp
- %SystemRoot% tempscsf.tmp
- <system folder> driversetchosts
- c:documents and settingsadministratorxplore.exe
A trójai módosítja a Windows hosts fájl-t, hogy felülírja DNS utakat, így bizonyos URL-ekhez más IP címek tartozhatnak, melyek a kártékony oldalakra mutathatnak. Továbbá ennek segítségével az ismert biztonsági cégek weboldalait is blokkolják.
A kártevő 80-as porton kapcsolódik az imagehut4.cn hosthoz, és az alábbiakat teheti:
- Jelenti az új fertőzést
- Konfigurációs, vagy egyéb adatokat fogad
- Tetszőleges fájlt tölt le, és futtat
- További utasításokat vár a támadótól
- Adatokat tölt fel a fertőzött számítógépről
A kártevő hash kivonata: SHA1 171b98c4d872d441875b6c3d6ce12c8617df44c7
Megoldás
Futtasson teljes rendszervizsgálatot egy naprakész vírusírtó szoftverrel.
Windows 8 és 10 esetén a Windows Defender, Windows 7 és Vista esetén a Microsoft Security Essentials vagy a Microsoft Safety Scanner nyújthat segítséget a fertőzés detektálásában és eltávolíthatásában.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.microsoft.com