Összefoglaló
A Trojan.Commofra egy trójai típusú kártevő, amely bizalmas információkat igyekszik megszerezni a fertőzött számítógépről.
Leírás
A Trojan.Commofra adathalász e-mail-eken keresztül kerülhet a számítógépre.
Az alábbi fájlokat és registry bejegyzéseket hozza létre:
- %UserProfile%Application Data[RANDOM DIGITS].bat
- %UserProfile%Application DataMicrosoft[THREE RANDOM CHARACTERS][RANDOM WORD].exe
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings”GlobalUserOffline” = 0x00000000
- HKEY_CURRENT_USERSoftwareMicrosoftOfficeCommon[EIGHT RANDOM CHARACTERS][10 RANDOM CHARACTERS]
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[THREE RANDOM CHARACTERS][RANDOM WORD].exe” = “%UserProfile%Application DataMicrosoft[THREE RANDOM CHARACTERS][RANDOM WORD].exe”
A [RANDOM WORD] a következő szavak valamelyike:
- windows, video, update, system, sock, share, setup, serial, mgr32, error, edit32, crypt, config, common, cap32, boot, bios, audio, api32
A trójai az alábbi tevékenységeket hajthatja végre:
- Befecskendezi magát böngésző folyamatokba
- Szűri a teljes hálózati forgalmat
- monitorozza a kommunikációt
- bizalmas adatokat lop
Az alábbi címeken lévő szerverekhez próbál kapcsolódni:
- 58.97.0.5:8080
- 31.192.210.86:8080
- 50.31.152.113:8080
- 204.93.183.196:8080
- 94.76.218.166:8080
- 69.64.69.191:8080
- 69.64.70.26:8080
- 50.31.152.124:8080
- 162.248.214.137:8080
Megoldás
Víruskezelő adatbázisának frissítése
Hivatkozások
Egyéb referencia: www.symantec.com