Compfun trójai

CH azonosító

CH-12248

Angol cím

Trojan.Compfun

Felfedezés dátuma

2015.05.18.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A Compfun trójai az adatlopásra alkalmas kártékony programok közé sorolható. A károkozó a felhasználó által megadott adatok iránt mutat érdeklődést. Ennek megfelelően folyamatosan naplózza a billentyűleütéseket, és rendszeresen képernyőképeket készít. Emellett a vágólap felett sem huny szemet, amelynek tartalmát szintén rendszeres időközönként lementi.

A Compfun a Windows egyik rendszerkönyvtárába, valamint az átmeneti fájlok tárolására szolgáló Temp mappába hozza létre a saját állományait. Eközben nyit egy hátsó kaput, és egy távoli vezérlőszerverrel épít ki kapcsolatot. Egyebek mellett ezen a kapcsolaton keresztül tudja kiszivárogtatni a megkaparintott adatokat.

Leírás

1. Létrehozza a következő állományokat:
%Temp%KB31545547.exe
%Temp%tmpB425.tmp
%Temp%~$tmpRestore.doc
%System%api-ms-win-downlevel-kzpe-l1-1-0._dl
%System%api-ms-win-downlevel-wmeu-l1-1-0._dl

2. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_CURRENT_USERSoftwareClassesCLSID{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}InprocServer32(Default) = C:Windowssystemapi-ms-win-downlevel-kzpe-l1-1-0._dl
HKEY_CURRENT_USERSoftwareClassesCLSID{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}InprocServer32ThreadingModel = Apartment
HKEY_CURRENT_USERSoftwareClassesWow6432NodeCLSID{BCDE0395-E52F-467C-8E3D-C4579291692E}(Default) = C:Windowssystemapi-ms-win-downlevel-wmeu-l1-1-0._dl
HKEY_CURRENT_USERSoftwareClassesWow6432NodeCLSID{BCDE0395-E52F-467C-8E3D-C4579291692E}ThreadingModel = Apartment

3. Csatlakozik egy távoli kiszolgálóhoz.

4. Nyit egy hátsó kaput.

5. Folyamatosan naplózza a billentyűleütéseket.

6. Képernyőképeket készít, és rendszeresen lementi a vágólap tartalmát.

7. Az összegyűjtött adatokat eljuttatja a terjesztőihez.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com


Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »