Domar trójai

CH azonosító

CH-12631

Angol cím

Downloader.Domar

Felfedezés dátuma

2015.09.21.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Vista, Windows XP

Összefoglaló

A Domar trójai mindössze egy feladatra alkalmas, de azt üzembiztosan képes ellátni. Ez pedig nem más, mint különféle fájlok interneten keresztül történő letöltése. Azt, hogy éppen honnan és milyen állományokat kell beszereznie, a készítői határozhatják meg. Ennek következtében tetszőleges kártékony kódokkal halmozhatja el az áldozatául eső számítógépeket.

A Domar elsősorban a Program Files mappában található, vagy a trójai által oda létrehozott könyvtárakba fészkeli be magát. Ezt követően egy Windows-os szolgáltatást is létrehoz, amely az állandó jelenlétét biztosítja. A károkozó mind a fájlnevek, mind a szolgáltatásainak elnevezése kapcsán előszeretettel használ véletlenszerűen generált karaktersorozatokat.

Leírás

1. Különböző fájlokat tölt le, amelyeket lement a következő mappába:
%ProgramFiles%AppPatch

2. Csatlakozik előre meghatározott távoli szerverekhez.

3. Létrehozza az alábbi állományokat:
%ProgramFiles%[véletlenszerű karakterek].dll
%ProgramFiles%mysqld.dll
%ProgramFiles%NetSyst[véletlenszerű karakterek].dll

4. A fenti állományait betölti a memóriába.

5. Lemásolja a saját kódját a következők szerint
%ProgramFiles%Microsoft [véletlenszerű karakterek][véletlenszerű karakterek].exe

6. Létrehoz egy Windows-os szolgáltatást, amelynek véletlenszerűen generált nevet ad.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool.