Összefoglaló
Az Egguard trójai a fertőzött számítógépre különböző ártalmas állományt tölt le és kártékony JavaScript kódot illeszt a megtekinteni kívánt honlapok forrásába.
Leírás
Az Egguard trójai WindowsSecurity nevű szolgáltatásként fut a fertőzött számítógépen. A megtévesztő elnevezés ellenére a szolgáltatás semmilyen módon sem tartozik a Windows operációs rendszer megfelelő működéséhez.
A trójai működésképtelenné teheti a Windows Bztonsági Központot, illetve az alapértelmezett tűzfalat.
A kártékony program közbeékelődéses támadás (man-in-the-middle) lehetővé tétele érdekében SSL tanúsítványt telepít a fertőzött eszközre, amellyel a támadók lehallgathatják, vagy manipulálhatják az adatforgalmat.
Technikai részletek:
A trójai az alábbi állományokat hozza létre:
- %ProgramData%MicrosoftNetworkDsqbrowsersyshostctl.exe
- %ProgramData%MicrosoftNetworkDsqchromelibvlc.dll
- %ProgramData%MicrosoftNetworkDsqchromevlc.exe
- %ProgramData%MicrosoftNetworkDsqchromework.dll
- %ProgramData%MicrosoftNetworkDsqfuncca.crt
- %ProgramData%MicrosoftNetworkDsqfuncca.key
- %ProgramData%MicrosoftNetworkDsqfunccert8.db
- %ProgramData%MicrosoftNetworkDsqfunccertutil.exe
- %ProgramData%MicrosoftNetworkDsqfuncfreebl3.dll
- %ProgramData%MicrosoftNetworkDsqfunckey3.db
- %ProgramData%MicrosoftNetworkDsqfunclibnspr4.dll
- %ProgramData%MicrosoftNetworkDsqfunclibplc4.dll
- %ProgramData%MicrosoftNetworkDsqfunclibplds4.dll
- %ProgramData%MicrosoftNetworkDsqfunclibvlc.dll
- %ProgramData%MicrosoftNetworkDsqfuncmsvcr100.dll
- %ProgramData%MicrosoftNetworkDsqfuncnss3.dll
- %ProgramData%MicrosoftNetworkDsqfuncnssckbi.dll
- %ProgramData%MicrosoftNetworkDsqfuncnssdbm3.dll
- %ProgramData%MicrosoftNetworkDsqfuncnssutil3.dll
- %ProgramData%MicrosoftNetworkDsqfuncsecmod.db
- %ProgramData%MicrosoftNetworkDsqfuncsmime3.dll
- %ProgramData%MicrosoftNetworkDsqfuncsoftokn3.dll
- %ProgramData%MicrosoftNetworkDsqfuncsqlite3.dll
- %ProgramData%MicrosoftNetworkDsqfuncssl3.dll
- %ProgramData%MicrosoftNetworkDsqfuncvlc.exe
- %ProgramData%MicrosoftNetworkDsqfuncwork.dll
- %ProgramData%MicrosoftNetworkDsqnetworkca.crt
- %ProgramData%MicrosoftNetworkDsqnetworkca.key
- %ProgramData%MicrosoftNetworkDsqnetworkdefault_cse.js
- %ProgramData%MicrosoftNetworkDsqnetworkgeneral.js
- %ProgramData%MicrosoftNetworkDsqnetworksysnetwk.exe
- %ProgramData%Windows Securitywinsecurity.exe
A következő bejegyzést teszi a registery-ben:
HKEY_LOCAL_MACHINESOFTWAREClientsMailChannelId = “egg19”
A trójai a [http://]85.195.78.241/36/dsq64_30[REMOVED] címről tölti le a további fertőzés céljából szükséges rosszindulatú fájlokat.
Támadás típusa
Manipulation of dataSystem access (Rendszer hozzáférés)
Trójai
man in the middle
Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com