Összefoglaló
A Canfili trójai adatlopási célokkal terjed az interneten. A kártékony program jelenlegi variánsa alapvetően kétféle módon próbál értékes információkhoz jutni. Egyrészt célkeresztbe állítja a fertőzött rendszerekre telepített FTP-kliens alkalmazásokat, és összegyűjti az azok által elmentett jelszavakat. Másrészt pedig feltérképezi, hogy a PC-n fut-e a PidGin alkalmazás, és ha igen, akkor az ahhoz tartozó adatbázisból is kiexportálja a számára értékes adatokat.
Leírás
A Canfili a bezsebelt adatokat egy távoli kiszolgálóra tölti fel. Ennek a szervernek a címe, elérhetősége azonban változhat. Így az adattolvajok mindig az aktuális igényeiknek, lehetőségeiknek megfelelően jelölhetik ki azokat a kiszolgálókat, amelyekre várják az értékes információkat.
Technikai részletek:
1. Kapcsolódik egy távoli szerverhez.
2. Lekérdezi a számítógép nevét.
3. Lekérdezi a legfontosabb hálózati paramétereket, így például a rendszer IP címét is.
4. FTP-kliensekből kigyűjti a felhasználó által elmentett hitelesítő adatokat, jelszavakat.
5. Kiexportálja a PidGin alkalmazás által eltárolt bizalmas információkat.
6. Az összegyűjtött adatokat feltölti egy távoli kiszolgálóra.
Megoldás
Naprakész vírusírtó használata.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu