Összefoglaló
A Compfun trójai az adatlopásra alkalmas kártékony programok közé sorolható. A károkozó a felhasználó által megadott adatok iránt mutat érdeklődést. Ennek megfelelően folyamatosan naplózza a billentyűleütéseket, és rendszeresen képernyőképeket készít. Emellett a vágólap felett sem huny szemet, amelynek tartalmát szintén rendszeres időközönként lementi.
A Compfun a Windows egyik rendszerkönyvtárába, valamint az átmeneti fájlok tárolására szolgáló Temp mappába hozza létre a saját állományait. Eközben nyit egy hátsó kaput, és egy távoli vezérlőszerverrel épít ki kapcsolatot. Egyebek mellett ezen a kapcsolaton keresztül tudja kiszivárogtatni a megkaparintott adatokat.
Leírás
1. Létrehozza a következő állományokat:
%Temp%KB31545547.exe
%Temp%tmpB425.tmp
%Temp%~$tmpRestore.doc
%System%api-ms-win-downlevel-kzpe-l1-1-0._dl
%System%api-ms-win-downlevel-wmeu-l1-1-0._dl
2. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_CURRENT_USERSoftwareClassesCLSID{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}InprocServer32(Default) = C:Windowssystemapi-ms-win-downlevel-kzpe-l1-1-0._dl
HKEY_CURRENT_USERSoftwareClassesCLSID{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}InprocServer32ThreadingModel = Apartment
HKEY_CURRENT_USERSoftwareClassesWow6432NodeCLSID{BCDE0395-E52F-467C-8E3D-C4579291692E}(Default) = C:Windowssystemapi-ms-win-downlevel-wmeu-l1-1-0._dl
HKEY_CURRENT_USERSoftwareClassesWow6432NodeCLSID{BCDE0395-E52F-467C-8E3D-C4579291692E}ThreadingModel = Apartment
3. Csatlakozik egy távoli kiszolgálóhoz.
4. Nyit egy hátsó kaput.
5. Folyamatosan naplózza a billentyűleütéseket.
6. Képernyőképeket készít, és rendszeresen lementi a vágólap tartalmát.
7. Az összegyűjtött adatokat eljuttatja a terjesztőihez.
Megoldás
Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com