Foidan trójai

CH azonosító

CH-10020

Angol cím

Foidan trojan

Felfedezés dátuma

2013.11.13.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Vista, Windows XP

Összefoglaló

A Foidan trójai a felhasználó internethasználati szokásait figyeli.

Leírás

A Foidan trójai a felhasználó internethasználati szokásait figyeli, és ezekről gyűjtött adatokat kiszivárogtatja. Ezt úgy tudja megtenni, hogy rendszer folyamatokba épül be, így böngésző függetlenül tudja végezni tevékenységét, továbbá kártékony kódok terjesztésére is képes lehet.

Technikai részletek:

1. Létrehozza az alábbi állományokat:
%APPDATA% ie_util.exe
%APPDATA% fnmod_32.exe

2. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunIExplorer Util=”%APPDATA%ie_util.exe”
HKCUSoftwareMicrosoftWindowsCurrentVersionRunFNModuleUpdater=”%APPDATA%fnmod_32.exe”

3. Létrehoz néhány mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszeren.

4. Megfertőzi a következő folyamatokat:
ctfmon.exe
dwm.exe
explorer.exe
iexplore.exe
rdpclip.exe
taskeng.exe
taskhost.exe
wscntfy.exe

5. Folyamatosan figyelemmel kíséri az internetes adatforgalmat (a HttpQueryInfoA és az InternetReadFile API-k segítségével).

6. Esetenként módosítja a HTTP-fejlécekben található információkat.

7. További nemkívánatos fájlokat juttat fel a számítógépre.