Összefoglaló
A Filurkes.B trójai kifejezetten azzal a céllal terjed, hogy további nemkívánatos programok terjesztésében vegyen részt. Ennek megfelelően leginkább a vírusterjesztők munkáját tudja megkönnyíteni, akik távolról meghatározhatják, hogy éppen milyen fájlt kell beszereznie a trójainak. A károkozó egy vezérlőszerverhez kapcsolódik, és onnan tölti le a számára szükséges információkat, illetve állományokat.
Leírás
A Filurkes.B nem végez sok műveletet a számítógépeken, mindössze két állományt hoz létre, majd a regisztrációs adatbázist módosítja. Ennél fogva a károkozó manuális eltávolítása sem időigényes feladat. A kihívást sokkal inkább a trójai felismerése jelenti, amiben a naprakészen tartott víruskeresők tudnak sokat segíteni.
1. Az alábbi könyvtárba létrehoz egy .dll, valamint egy .dat kiterjesztésű állományt:
%SystemDrive%Documents and SettingsAll UsersApplication Data
A fájlneveket egy előre meghatározott listából választja ki.
2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_CURRENT_USERSoftwareClassesCLSID{118BEDCC-A901-4203-B4F2-ADCB957D1887}”InProcServer32″ = „[a trójai elérési útvonala]”
HKEY_CURRENT_USERSoftwareClassesDriveShellExFolderExtensions{118BEDCC-A901-4203-B4F2-ADCB957D1887}”DriveMask” = „0xffffffff”
HKEY_CURRENT_USERSoftwareClassesCLSID{118BEDCC-A901-4203-B4F2-ADCB957D1887}InProcServer32″ThreadingModel” = „Apartment”
3. Kapcsolódik egy távoli kiszolgálóhoz.
4. További kártékony programokat juttat fel a számítógépre.
Megoldás
- Teljes rendszervizsgálat egy naprakész adatbázisú vírusírtóval.
Egyéb eszközök az eltávolításhoz:
- Norton Power Eraser Tool (A program agresszív technikákat alkalmaz, így érdemes átnézni a törlésre kiválasztott programok listáját, nehogy egy tiszta programot távolítson el.) https://security.symantec.com/nbrt/npe.aspx?lcid=1033
- Symantec Power Eraser (SymHelp) http://www.symantec.com/techsupp/home_homeoffice/products/sep/SymHelp.exe
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com
