Busadom trójai

CH azonosító

CH-12051

Angol cím

Downloader.Busadom

Felfedezés dátuma

2015.03.03.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Busadom trójai különösen azon számítógépekre jelent veszélyt, amelyek a biztonsági frissítések szempontjából nem naprakészek. A kártékony program a Flash Player egyik (CVE-2014-9163 jelzésű) sebezhetőségét használja ki, amelyet az Adobe már 2014 decemberében megszüntetett. Az érintett alkalmazás frissítésével a trójai támadási vektora könnyedén kivédhető.

A Busadom komponensei véletlenszerű fájlnévvel rendelkező állományok formájában kerülhetnek fel a rendszerekre, amelyeken manipulálja az Internet Explorer egyes beállításait. Majd kapcsolódik egy távoli kiszolgálóhoz, amelyről különféle fájlokat tölt le. Mindezek mellett rendelkezik egy olyan összetevővel, amelynek révén rendszerinformációk kiszivárogtatására válik alkalmassá.

Leírás

1. Létrehozza a következő állományt:
%UserProfile%Local SettingsApplication Data[véletlenszerű karakterek].[véletlenszerű karakterek]

2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZoneMapDomains”iad12s04-in-f22.1h100.nethttp” = “0”
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZoneMapDomains”iad12s04-in-f22.1h100.nethttps” = “0”

3. Kapcsolódik az előre meghatározott távoli kiszolgálókhoz.

4. További ártalmas programokat tölt le, illetve futtat.

5. Rendszerinformációkat gyűjt össze, és szivárogtat ki.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.