Összefoglaló
A Trojan.Cidox.D egy trójai típusú kártevő, amely hátsókaput nyit a fertőzött gépen és adatokat lop.
Leírás
Alapvetően a billentyűleütéseket naplózza, és az így megkaparintott adatokat egy CAB fájlba tárolja le. A levelező kliensekből megpróbálja kiexportálni a postafiókokhoz tartozó hitelesítő adatokat, valamint folyamatosan figyelemmel kíséri a felhasználó böngészési szokásait. Ennek érdekében képes megfertőzni a webböngészők folyamatait is.
A Cidox trójai megpróbálja minél jobban álcázni magát. Mindössze egy fájlt hoz létre a rendszereken (az adatlopást szolgáló CAB állomány mellett), és a Windows explorer.exe folyamatát igyekszik megfertőzni, ami mögül elvégezheti a tevékenységét, és a Feladatkezelőben sem lesz látható.
A trójai az összegyűjtött adatokat rendszeresen feltölti a vezérlőszerverére.
1. Létrehozza a következő állományt
- %System%cmdivvox.exe
2. Letörli azt a fájlt, amellyel eredetileg felkerült a számítógépre.
3. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunavicnd3d = “%System%cmdivvox.exe”
4. Megfertőzi az explorer.exe folyamatot.
5. Nyit egy hátsó kaput, majd várakozik a támadók parancsaira.
6. Összegyűjti az alábbi rendszerinformációkat:
- a számítógép neve és IP címe
- az operációs rendszer legfontosabb paraméterei
- szolgáltatások listája
- telepített alkalmazások listája.
7. Csatlakozik a vezérlőszerveréhez, és feltölti az összegyűjtött adatokat.
Megoldás
Frissítse a víruskereső szoftver adatbázisát
Hivatkozások
Egyéb referencia: www.isbk.hu
Egyéb referencia: www.symantec.com