Összefoglaló
A Fleercivet egy trójai típusú kártevő, amely kattintásalapú csalásokban vesz részt.
Leírás
A Fleercivet trójai kizárólag fizikai számítógépen okoz károkat, mivel ha virtuális gépre utaló jeleket észlel, akkor azonnal leállítja a működését. Ha viszont egy számára mindenben megfelelő rendszerre akad, akkor azon egy Google frissítőprogramnak álcázva kezdi meg a nemkívánatos tevékenységét. Ebből pedig a felhasználó nagy valószínűséggel semmit sem vesz észre, ugyanis a károkozó minden műveletet a háttérben hajt végre. A Windows svchost.exe nevű rendszerfolyamatának megfertőzésével éri el azt, hogy a Feladatkezelőben se legyen látható.
A Fleercivet megpróbálja beazonosítani, hogy az áldozatául eső PC mely földrajzi régióban található, majd további kártékony programokat, összetevőket tölt le, illetve telepít fel. A legfontosabb feladatának ezt követően lát neki, amelynek során kattintásalapú csalásokban vesz részt. A kártevő az Internet Explorer esetében képes kattintásokat szimulálni.
1. Létrehozza a következő állományokat:
- %ProgramFiles%@system.temp
- %UserName%AppDataRoamingFrameworkUpdateGoogleUpdate.exe
2. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.
3. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”GoogleUpdate” = “%UserName%AppDataRoamingFrameworkUpdateGoogleUpdate.exe”
4. Megfertőzi az svchost.exe folyamatot.
5. Csatlakozik előre meghatározott távoli kiszolgálókhoz.
6. A további tevékenységét a terjesztői szabályozhatják különféle parancsok kiadásával.
7. Geolokációs adatokat gyűjt össze.
8. További kártékony programokat tölt le, illetve telepít fel.
9. Kattintásalapú csalásokban vállal szerepet.
Megoldás
Frissítse a víruskereső adatbázisát
Támadás típusa
Unspecified (Nem részletezett)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.isbk.hu
Egyéb referencia: www.symantec.com