Összefoglaló
A Boyapki.B trójai elsősorban olyan számítógépek esetében képes problémákat okozni, amelyekről online bankolás is történik. A kártékony program e variánsa leginkább a koreai pénzintézetek ügyfeleinek értékeit veszélyezteti, de az általa alkalmazott módszerek a későbbiekben szélesebb körű károkozásokra is lehetőséget adhatnak.
Leírás
A Boyapki.B először megpróbál hitelesítésekhez használható tanúsítványokat kiszivárogtatni, majd bizonyos koreai bankok weboldalainak letöltésekor átirányítja a felhasználókat a csalók által létrehozott, hamis weblapokra.
A károkozó akkor is veszélyt jelent, ha az adott számítógépről nem történik bankolás. A Boyapki ugyanis egy hátsó kaput nyit, majd további nemkívánatos programokat juttat fel a rendszerekre.
1. Létrehozza a következő állományt:
%System%driversetchosts.ics
2. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.
3. A regisztrációs adatbázist kiegészíti az alábbi bejegyzéssel:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”syetom” = “[a trójai elérési útvonala][a trójai fájlneve].exe”
4. Csatlakozik egy távoli kiszolgálóhoz, és parancsokat fogad.
5. Ellenőrzi, hogy léteznek-e az alábbi mappák:
%DriveLetter%NPKI
%ProgramFiles%NPKI
%SystemDrive%Documents and SettingsAll UsersApplication DataLocalLowNPKI
6. Manipulálja a Windows %System%driversetchosts állományát.
7. Előre meghatározott (főleg banki) weboldalak esetében átirányításokat hajt végre.
8. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.
9. Kitörli a DNS cache-t.
10. Frissíti a vezérlőszervereinek címét tartalmazó listáját.
11. További ártalmas fájlokat tölt le.
Megoldás
Vírusirtó segítségével távolítsa el a fertőzést.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.isbk.hu