Domingo trójai

CH azonosító

CH-11793

Angol cím

Domingo trojan

Felfedezés dátuma

2014.11.10.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 2000
Windows 7
Windows Vista
Windows XP

Érintett verziók

Windows 2000, Windows 7, Windows Vista, Windows XP

Összefoglaló

A Domingo trójai adatlopásra alkalmas kártevő.

Leírás

Az adatok eltulajdonításához azonban nem a leggyakrabban elterjedt módszereket veti be. Közbeékelődéses támadások végrehajtásával  támogatja a terjesztőit abban, hogy a webböngészőkben megadott értékes adatokhoz hozzáférhessenek. A kártékony program alapvetően a Boleto típusú fizetésekhez kötődő adatokat igyekszik kifürkészni, de a képességei egyéb információk összegyűjtésére is alkalmassá teszik.

A Domingo mindössze egy fájlt hoz létre, és PHP-alapú weboldalakon keresztül kommunikál a terjesztőivel. Eközben pontosan feltérképezi az operációs rendszer legfontosabb paramétereit, illetve felméri, hogy a helyi meghajtókon mekkora szabad kapacitás áll rendelkezésre. 

Technikai részletek:

1. Létrehoz egy flashup.exe állományt abba a könyvtárba, amelybe eredetileg bekerül.

2. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunAvadaquevadra[aktuális könyvtár]flashup.exe

3. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.

4. Csatlakozik egy távoli szerverhez, illetve arról kiszolgált PHP-alapú weboldalakhoz.

5. Összegyűjti az operációs rendszerre vonatkozó legfontosabb információkat.

6. Felméri a szabad merevlemez-kapacitást.

7. Közbeékelődéses (man-in-the-browser) támadásokat segít elő.

8. Manipulálja a DOM-műveleteket.

9. Kódbefecskendezést végez.

10. Pénzügyi adatokat próbál összegyűjteni, illetve kiszivárogtatni (Boleto fizetésekhez).                                

Megoldás

A számítógép megtisztítása vírusírtó segítségével.