Összefoglaló
A Blueso egy olyan trójai, amely befecskendezi a rosszindulatú kódot a már meglévő programokba a fertőzött számítógépen.
Leírás
A trójai egy önkicsomagoló archív fájlként érkezik a számítógépre.
Amikor a trójai lefut, létrehozza az alábbi fájlokat:
- %UserProfile%[RANDOM LETTERS AND NUMBERS]/[RANDOM LETTERS].exe
- %UserProfile%[RANDOM LETTERS AND NUMBERS]/[RANDOM LETTERS FILE NAME ONE].[THREE RANDOM LETTERS]
- %UserProfile%[RANDOM LETTERS AND NUMBERS]/[RANDOM LETTERS FILE NAME TWO].[THREE RANDOM LETTERS]
- %UserProfile%[RANDOM LETTERS AND NUMBERS]/[RANDOM LETTERS FILE NAME THREE].[THREE RANDOM LETTERS]
- %UserProfile%[RANDOM LETTERS AND NUMBERS]/[RANDOM LETTERS FILE NAME FOUR].[THREE RANDOM LETTERS]
- %UserProfile%[RANDOM LETTERS AND NUMBERS]/[RANDOM LETTERS FILE NAME FIVE].[THREE RANDOM LETTERS]
Ezután a trójai létrehozza a következő bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce”[RANDOM LETTERS AND NUMBERS]” = “%UserProfile%[RANDOM LETTERS AND NUMBERS]/[RANDOM LETTERS FILE NAME FIVE].[THREE RANDOM LETTERS]”
A trójai ezután végrehajtja: %UserProfile%[RANDOM LETTERS AND NUMBERS]/[RANDOM LETTERS].exe-nek a futtatását, amely egy rosszindulatú AutoIt szkript. Ez a szkript befecskendezi a W32.Spyrat fenyegetést az Internet Explorer-be.
Megoldás
Windows Defender és a vírusírtók napra készen tartása.
Támadás típusa
Hijacking (Visszaélés)Information disclosure (Információ/adat szivárgás)
Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com