Összefoglaló
A Win32.U.Ruskill trójai (más néven: Win32/Dynamer!ac, Trojan.Ge, stb.) vírus személyes információkat lophat a felhasználótól, további káros kódot tölthet le, valamint a támadó teljes irányítása alá is vonhatja a célszámítógépet. A vírus többféleképpen is megfertőzheti a rendszert: egyrészt azáltal, hogy a felhasználó megtekint egy feltört vagy káros weboldalt, másrészt a kártevő akár véletlenül is lefuttatásra kerülhet a rendszeren.
Leírás
A trójai az alábbi problémákat okozhatja a számítógépen:
- magas jogosultsági szinten fut, ezért eltávolítása nem triviális;
- képes további káros szoftvereket telepíteni;
- megnehezíti a felhasználó számára az internetes böngészést, valamint átirányíthatja a weboldalakat;
- módosíthatja a rendszerfájlokat és az operációs rendszer alapbeállításait a rendszerleíró-adatbázisban (registry), ezáltal kikapcsolhatja a rendszer több összetevőjét;
- drasztikusan lelassíthatja a számítógépet, amely a rendszer összeomlásához vezethet.
Megoldási javaslatok
Érdemes áttekinteni a feladatkezelőben az éppen futó .exe kiterjesztésű fájlokat.
A következő mappákban érdemes körültekintően ellenőrizni és törölni a vírussal összeköthető fájlokat:
– C:WINDOWSsystem32
– C:WINDOWSsystem32drivers
– C:Documents and Settings[user name]Application Data
– C:Documents and Settings[user name]Local SettingsTemp
A rendszerleíró-adatbázisban az alábbi bejegyzések árulkodóak lehetnek a kártevő jelenlétéről:
– HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun “[random.EXE”
– HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun “[random].EXE”
Emellett a Windows Defender Antivirus (Windows 10, Windows 8.1), a Microsoft Security Essentials (Windows 7, Windows Vista), a Microsoft Safety Scanner és a Norton Power Eraser (NPE) képes felismerni a vírust és annak variánsait, amelyek további leírása és letöltési, telepítési útmutatója az alábbi hivatkozásokon érhető el.
Technikai információk
Type: Backdoor.Win32.U.Ruskill.195584
SHA-1: 41F976E13A84E145168523054043794C848A66D4
SHA-256: 92BB2EFEEA875EB5E8779F13CC50D1A831B3C538EB73E15384F8748266BE8FF1
MD5: 33D32552D7B0C7F86D9DDEFC3BA2B24B
Filename: mobsync.exe, api8[1].gif, gwyfr.exe, api8[2].gif, api8.gif, bav3b.exe, gnor3.exe, 92bb2efeea875eb5e8779f13cc50d1a831b3c538eb73e15384f8748266be8ff1.bin
File Size: 1 308 160 B
File Type: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Information disclosure (Információ/adat szivárgás)
Privilege escalation (jogosultság kiterjesztés)
Redirecting traffic
System access (Rendszer hozzáférés)
Trójai
backdoor
execute arbitrary code
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: blog.teesupport.com
Gyártói referencia: www.microsoft.com
Gyártói referencia: www.symantec.com
