Összefoglaló
A Foidan trójai a felhasználó internethasználati szokásait figyeli.
Leírás
A Foidan trójai a felhasználó internethasználati szokásait figyeli, és ezekről gyűjtött adatokat kiszivárogtatja. Ezt úgy tudja megtenni, hogy rendszer folyamatokba épül be, így böngésző függetlenül tudja végezni tevékenységét, továbbá kártékony kódok terjesztésére is képes lehet.
Technikai részletek:
1. Létrehozza az alábbi állományokat:
%APPDATA% ie_util.exe
%APPDATA% fnmod_32.exe
2. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunIExplorer Util=”%APPDATA%ie_util.exe”
HKCUSoftwareMicrosoftWindowsCurrentVersionRunFNModuleUpdater=”%APPDATA%fnmod_32.exe”
3. Létrehoz néhány mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszeren.
4. Megfertőzi a következő folyamatokat:
ctfmon.exe
dwm.exe
explorer.exe
iexplore.exe
rdpclip.exe
taskeng.exe
taskhost.exe
wscntfy.exe
5. Folyamatosan figyelemmel kíséri az internetes adatforgalmat (a HttpQueryInfoA és az InternetReadFile API-k segítségével).
6. Esetenként módosítja a HTTP-fejlécekben található információkat.
7. További nemkívánatos fájlokat juttat fel a számítógépre.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.microsoft.com