Összefoglaló
A Fynloski trójai a Windows Indítópultjába másolja be a különféle kártékony állományait, és ezzel biztosítja azt, hogy az operációs rendszer újraindítása után is automatikusan be tudjon töltődni a memóriába. Ugyanakkor nem bíz mindent a felhasználók számára is jól átlátható indítópultos technikára, hiszen a regisztrációs adatbázist is manipulálja az indítási beállítások vonatkozásában.
Leírás
A Fynloski.R egy hátsó kaput létesít a rendszeren, és a vezérlőszerverén keresztül fogadja a támadók parancsait. Az utasítások egyebek mellett a következőkre vonatkozhatnak:
- fájlműveletek
- fájlok le- és feltöltése
- billentyűleütések naplózása
- rendszerbeállítások manipulálása
- alkalmazások indítása vagy leállítása
1. Létrehozza a következő állományokat:
%Indítópult%system.pif
%APPDATA% roaminginstalldirhelp.exe
%Indítópult%anonymous – copia.png
%Indítópult%blackcircle@2x.png
%Indítópult%system.pif
%Indítópult%x.exe
%USERPROFILE% documentsdcscminimdcsc.exe
2. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunDarkComet RAT=”%USERPROFILE%documentsdcscminimdcsc.exe”
HKCUSoftwareMicrosoftWindowsCurrentVersionRunhelp=”%USERPROFILE%appdataroaminginstalldirhelp.exe”
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonUserInit=”%System%userinit.exe,c:usersadministratordocumentsdcscminimdcsc.exe”
3. Megfertőz egyes folyamatokat.
4. Kapcsolódik egy távoli vezérlőszerverhez, és nyit egy hátsó kaput.
5. Várakozik a támadók parancsaira, amelyeket végrehajt.
Megoldás
Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
Támadás típusa
System access (Rendszer hozzáférés)Trójai
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu