Drover trójai

CH azonosító

CH-13106

Angol cím

Drover trojan

Felfedezés dátuma

2016.03.14.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Drover trójai speciálisan összeállított, RTF-formátumú fájlok révén terjed. Amikor a felhasználó megnyit egy ilyen állományt, akkor lefut egy exploit, és a nem naprakészen tartott rendszereken elindul a fertőzési folyamat. Ennek során egy Mdropper nevű trójai letölti a Drover alapkódját, ami aztán további állományokat juttat fel a PC-re. A többlépcsős fertőzés végén egy olyan károkozó kerül fel a rendszerre, amely adatlopást segíthet elő.

Leírás

A Drover alapvetően a billentyűleütések folyamatos naplózásából szerzi be az értékes információkat. Emellett azonban rendszeres időközönként képernyőképeket is lement. Az összegyűjtött adatokat pedig interneten keresztül továbbítja a terjesztői számára.

Technikai részletek:

1. A regisztrációs adatbázishoz hozzáadja a következő bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”System Application” = %SystemDrive%systemWindowsSecurityService2.exe

2. Kapcsolódik egy távoli kiszolgálóhoz.

3. Nyit egy hátsó kaput.

4. További állományokat tölt le, amiket az alábbiak szerint ment le:
%SystemDrive%systemcxcore210.dll
%SystemDrive%systemhighgui210.dll
%SystemDrive%systemlibsndfile-1.dll
%SystemDrive%systemopenal32.dll
%SystemDrive%systemWindowsSecurityService2.exe

5. Képernyőképeket készít.

6. Naplózza a billentyűleütéseket.

7. Az összegyűjtött adatokat feltölti egy kiszolgálóra.

8. Frissíti a saját kódját.

Megoldás

  • Használjon naprakész vírusírtót!
  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket)!
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Run Norton Power Eraser (NPE)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com