Boyapki.B

CH azonosító

CH-11874

Angol cím

Boyapki.B

Felfedezés dátuma

2014.12.16.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Boyapki.B trójai elsősorban olyan számítógépek esetében képes problémákat okozni, amelyekről online bankolás is történik. A kártékony program e variánsa leginkább a koreai pénzintézetek ügyfeleinek értékeit veszélyezteti, de az általa alkalmazott módszerek a későbbiekben szélesebb körű károkozásokra is lehetőséget adhatnak.

Leírás

A Boyapki.B először megpróbál hitelesítésekhez használható tanúsítványokat kiszivárogtatni, majd bizonyos koreai bankok weboldalainak letöltésekor átirányítja a felhasználókat a csalók által létrehozott, hamis weblapokra.

A károkozó akkor is veszélyt jelent, ha az adott számítógépről nem történik bankolás. A Boyapki ugyanis egy hátsó kaput nyit, majd további nemkívánatos programokat juttat fel a rendszerekre.

1. Létrehozza a következő állományt:
%System%driversetchosts.ics

2. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.

3. A regisztrációs adatbázist kiegészíti az alábbi bejegyzéssel:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”syetom” = “[a trójai elérési útvonala][a trójai fájlneve].exe”

4. Csatlakozik egy távoli kiszolgálóhoz, és parancsokat fogad.

5. Ellenőrzi, hogy léteznek-e az alábbi mappák:
%DriveLetter%NPKI
%ProgramFiles%NPKI
%SystemDrive%Documents and SettingsAll UsersApplication DataLocalLowNPKI

6. Manipulálja a Windows %System%driversetchosts állományát.

7. Előre meghatározott (főleg banki) weboldalak esetében átirányításokat hajt végre.

8. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.

9. Kitörli a DNS cache-t.

10. Frissíti a vezérlőszervereinek címét tartalmazó listáját.

11. További ártalmas fájlokat tölt le.

Megoldás

Vírusirtó segítségével távolítsa el a fertőzést.