Cadelspy trójai

CH azonosító

CH-12624

Angol cím

Cadelspy trojan

Felfedezés dátuma

2015.09.17.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

Összefoglaló

A Cadelspy trójai meglehetősen sok változtatást eszközöl a célkeresztjébe kerülő rendszereken. Mind a fájlrendszer, mind a regisztrációs adatbázis szintjén jó pár nyomot hagy maga után. Ugyanakkor a felismerése – megfelelő védelmi eszközök hiányában – mégsem minden esetben egyértelmű, mivel a károkozó a Windows explorer.exe folyamata mögé rejtőzik el. 

Leírás

A Cadelspy alapvetően adatlopásból veszi ki a részét. Ennek során egy hátsó kaput létesít, és várakozik a támadók parancsaira. Az elkövetők egyebek mellett a billentyűleütések folyamatos naplózására utasíthatják a szerzeményüket, de akár rendszer- és alkalmazásinformációkat is bezsebelhetnek. A trójai a megkaparintott adatokat egy távoli kiszolgálóra tölti fel, és ilyen módon juttatja az információkat a támadók kezébe.

Technikai részletek:

1. Létrehozza az alábbi könyvtárakat:
%System%ntinfo32
%System%ntsvc32
%System%ntsvc32update
%System%ntinfo32completedupl
%System%ntinfo32completedp[NUMBER]
%System%_tmp001x86
%System%_tmp001x64

2. Felmásolja a rendszerre a fájljait:
%System%ntsvc322094012403.cfg
%System%ntsvc322094012403.rou
%System%ntsvc32ntsvc32.dll
%System%ntsvc32ntsvcst32.dll
%System%ntinfo32completedp[NUMBER]2094012403-[dátum]-(12-46-51)-006.fjr_0001.ecm
%System%ntinfo32completedupl2094012403-[dátum]-(12-54-51)-045.fjr_0006.ecm

3. Megfertőzi az explorer.exe folyamatot.

4. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows”LoadAppInit_DLLs” = “1”
HKEY_CURRENT_USERSoftwarentsvc32
HKEY_CURRENT_USERSoftwarentsvc32FLS
HKEY_CURRENT_USERSoftwarentsvc32HDD
HKEY_CURRENT_USERSoftwarentsvc32HST
HKEY_CURRENT_USERSoftwarentsvc32PAP
HKEY_CURRENT_USERSoftwarentsvc32ROU
HKEY_CURRENT_USERSoftwarentsvc32UPL

5. Kitörli az alábbi állományokat:
%Temp%_tmp001x64
%Temp%_tmp001x642094012403.cfg
%Temp%_tmp001x642094012403.rou
%Temp%_tmp001x64ntsvc32.dll
%Temp%_tmp001x64ntsvcst32.dll
%Temp%_tmp001x86
%Temp%_tmp001x862094012403.cfg
%Temp%_tmp001x862094012403.rou
%Temp%_tmp001x86ntsvc32.dll
%Temp%_tmp001x86ntsvcst32.dll

6. Kapcsolódik egy vagy több távoli kiszolgálóhoz.

7. Nyit egy hátsó kaput.

8. Adatokat gyűjt össze, amiket a következő állományokba ment le:
%System%ntinfo32completedp[NUMBER]2094012403-[dátum]-(12-46-51)-006.fjr_0001.ecm
%System%ntinfo32completedupl2094012403-[dátum]-(12-54-51)-045.fjr_0006.ecm

9. Az összegyűjtött adatokat kiszivárogtatja.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool