Emdivi trójai

CH azonosító

CH-11762

Angol cím

trojan Emdivi

Felfedezés dátuma

2014.10.29.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

Az Emdivi trójai azon kártékony programok közé sorolható, amelyek a háttérben lapulnak, miközben kiszolgáltatottá teszik a számítógépeket a külső támadásokkal szemben. Az Emdivi is kerüli a feltűnést, ezért mindössze két fájlt hoz létre a rendszereken, amiket a Windows átmeneti állományok tárolására szolgáló mappájába másol be. 

A trójai az Indítópultban hoz létre egy parancsikont, amelynek segítségével a Windows újraindítása után is képes aktivizálódni. Tulajdonképpen ez a parancsikon lehet a trójai legfeltűnőbb ismertetőjele. 

A kártékony program feladata, hogy egy hátsó kaput létesítsen a rendszereken, és azon keresztül fogadja, majd végrehajtja a támadók utasításait.

Leírás

1. Létrehozza a következő állományt:
%Temp%leassnp.exe

2. A Windows Temp könyvtárába bemásol egy “kptl.doc” nevű fájlt.

3. Létrehoz egy parancsikont az Indítópultban.
%SystemDrive%Documents and SettingsAll UsersStart MenuProgramsStartupleassnp.lnk

4. Kapcsolódik egy távoli kiszolgálóhoz.

5. Nyit egy hátsó kaput.

6. Fogadja, majd végrehajtja a támadók parancsait.

Hivatkozások

Egyéb referencia: www.isbk.hu
Gyártói referencia: www.symantec.com