Összefoglaló
Az Emysair egy olyan trójai, amely hátsó kaput nyit a fertőzött rendszeren, emellett adatokat lop és további kártékony fájlokat tölthet le.
Leírás
Létrehozza az alábbi fájlokat:
%UserProfile%Application DataLocalDataishelp.dll
%AppData%75BD50EC.dat
%Temp%�00A758C8FEAE5F.tmp
Létrehozza a következő registry bejegyzést, amelynek következtében minden egyes Windows indításkor lefut.
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”SystemDrive” = “rundll32.exe %UserProfile%Application DataLocalDataishelp.dll”
Ezután hátsó kaput nyit és kapcsolatot kezdeményez a következő távoli kiszolgálók valamelyikéhez:
[http://]ustar5.PassAs.us/defaul[REMOVED]
[http://]203.124.14.229/defaul[REMOVED]
[http://]dnt5b.myfw.us/defaul[REMOVED]
Majd végrehajtja az alábbi tevékenységeket:
- Fájlokat tölt le és fel, illetve futtathat is.
- Létrehoz egy távoli shell-t.
- Végrehajtja a támadó által definiált egyéb parancsokat.
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket)!
- Használjon offline biztonsági mentést!
- Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE).
Támadás típusa
Security bypass (Biztonsági szabályok megkerülése)Trójai
backdoor
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com