Babonock

CH azonosító

CH-11603

Angol cím

Babonock

Felfedezés dátuma

2014.09.10.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A Babonock féreg elsősorban cserélhető adattárolókon bukkanhat fel. Amint a felhasználó egy fertőzött számítógéphez csatlakoztat egy pendrive-ot, memóriakártyát stb., akkor a károkozó rögtön megpróbálja felmásolni az állományait, és arról is gondoskodik, hogy az adathordozó következő használatakor a lehető legkevesebb közreműködéssel tudjon elindulni.

A Babonock a billentyűleütések folyamatos kémlelésével próbál bizalmas adatokhoz hozzájutni. Ezeket aztán egy távoli szerverre tölti fel, és ilyen módon értékes információkkal halmozza el a terjesztőit.

Leírás

1. Létrehozza a következő állományt:
%UserProfile%Application DataMicrosoftOfficerundll32.exe
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Microsoft Windows” = “%UserProfile%Application DataMicrosoftOfficerundll32.exe”
3. A regisztrációs adatbázist kiegészíti a következő értékekkel:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced”HideFileExt” = “1”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced”ShowSuperHidden” = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced”Msversion” = “3fa”
4. Folyamatosan naplózza a billentyűleütéseket.
5. Fájlokat tölt le interneten keresztül.
6. Az összegyűjtött adatokat feltölti egy vezérlőszerverre.
7. Felmásolja a saját állományait a cserélhető meghajtókra.

Hivatkozások

Egyéb referencia: isbk.hu