Összefoglaló
Ez a malware összefügg egy támadással, amely a Google Drive and Dropbox óvatlan felhasználói után kutatott.
A kártékony szoftver egy hátsó kaput nyit, így információkat küld a támadónak a fertőzött számítógépről.
Leírás
A backdoor egy kártékony kódot futtató weboldalról a felhasználó tudta nélkül töltődik le.
A program bemásolja magát a következő helyre: %Application Data%scvperc.exe
Létrehozza a következő regisztrációs bejegyzést annak érdekében, hogy automatikusan indulhasson a bejelentkezést követően:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun scvperc = “%Application Data%scvperc.exe”
A program a következő feladatokat képes elvégezni:
- Letölt és futtat tetszőleges állományt a %User Temp% helyen.
- Távoli parancssort biztosít
- Meghajtó információkat szerez
Kapcsolódik a következő weboldalakhoz annak érdekében, hogy fogadjon és küldjön információkat: BLOCKED}i.{BLOCKED}2.com:32040
Bemásolja a következő fájlt, ami a felhasználó billentyűzet leütéseit figyeli: %Application Data%Logs{date-month-year} – encrypted
A szoftver megpróbálja ellopni a tárolt e-mail hitelesítő adatokat az alábbi szoftverektől:
- Windows Live
- Mozilla Thunderbird
- Outlook
Megpróbálja a tárolt adatokat ellopni, mint pl. felhasználónevek, jelszavak, és számítógépnevek az alábbi böngészőkből:
- Mozilla Firefox
- Opera
- Internet Explorer
- Google Chrome
- Chromium
Ezen felül naplózza a felhasználó billentyűzet leütéseit hogy további információt lopjon.
Megoldás
Víruskereső frissítése.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: about-threats.trendmicro.com