Összefoglaló
A Predet trójai egy többfunkciós kártevő, amely jelentős mértékben képes hozzájárulni különféle károkozásokhoz. Elsősorban adatlopásra alkalmas összetevőket tartalmaz, amik révén rendszerinformációkat és felhasználói adatokat is képes a terjesztőihez eljuttatni. Először pontosan feltérképezi az általa megfertőzött rendszert, beleértve a telepített biztonsági alkalmazásokat is. Majd minden fontosabb paraméterről értesíti a támadókat, akik ezáltal tisztába kerülnek azzal, hogy milyen PC-ken van jelen a szerzeményük.
Leírás
A Predet a rendszerinformációk mellett a következő adatokat sem veti meg:
- postafiókokhoz tartozó hitelesítő adatok
- webböngészők által eltárolt információk (űrlapadatok, jelszavak stb.)
- JDownloader és Internet Downloader Manager információk
- Minecraft fiókadatok
- Steam fiókinformációk
- Bitcoin adatok.
A fentiek alapján látható, hogy a Predator a játékos kedvű felhasználók adatait sem kíméli.
Technikai részletek:
1. Létrehozza az alábbi állományokat:
%AppData%WindowsUpdate.exe
%AppData%pid.txt
%AppData%pidloc.txt
%AppData%.minecraftlastlogin
%AppData%Roamingjagex_cachereg
%AppData%Roamingjagex_cacheregPin[számítógépnév]_Pin[…].jpeg
%Temp%SysInfo.txt
%Temp%[számítógépnév]_wallet.dat
%Temp%wallet.dat
%Temp%screensscreenshot[…]_[számítógépnévjpeg
%Temp%EBFile_[…].exe
%Temp%BFile_[…].[…]
[meghajtó betűjele]:autorun.inf
[meghajtó betűjele]:Sys.exe
2. A regisztrációs adatbázishoz hozzáadja a következő értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunWindows Update = “%AppData%WindowsUpdate.exe”
3. Letiltja a Windows Feladatkezelőjét, a parancssori ablakot, a konfigurációs beállításokra szolgáló eszközt (Msconfig), valamint a regisztrációs adatbázis szerkesztőjét.
4. Információkat gyűjt össze a fertőzött rendszer hardver és szoftver környezetével kapcsolatban
5. Naplózza a billentyűleütéseket.
6. További programokat tölt le, illetve futtat.
7. Hamis üzeneteket jelenít meg.
8. Kitörli a böngészők által tárolt cookie-kat.
9. Megpróbál cserélhető meghajtókon keresztül további PC-kre felkerülni.
10. Adatokat szivárogtat ki.
11. Manipulálja a Windows Hosts állományát.
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
- Használjon offline biztonsági mentést!
- Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE)
Támadás típusa
Security bypass (Biztonsági szabályok megkerülése)Trójai
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com
