Fynloski.R trójai

CH azonosító

CH-12446

Angol cím

Fynloski.R trojan

Felfedezés dátuma

2015.07.16.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows

Összefoglaló

A Fynloski trójai a Windows Indítópultjába másolja be a különféle kártékony állományait, és ezzel biztosítja azt, hogy az operációs rendszer újraindítása után is automatikusan be tudjon töltődni a memóriába. Ugyanakkor nem bíz mindent a felhasználók számára is jól átlátható indítópultos technikára, hiszen a regisztrációs adatbázist is manipulálja az indítási beállítások vonatkozásában.

Leírás

A Fynloski.R egy hátsó kaput létesít a rendszeren, és a vezérlőszerverén keresztül fogadja a támadók parancsait. Az utasítások egyebek mellett a következőkre vonatkozhatnak:

  • fájlműveletek
  • fájlok le- és feltöltése
  • billentyűleütések naplózása
  • rendszerbeállítások manipulálása
  • alkalmazások indítása vagy leállítása

1. Létrehozza a következő állományokat:
%Indítópult%system.pif
%APPDATA% roaminginstalldirhelp.exe
%Indítópult%anonymous – copia.png
%Indítópult%blackcircle@2x.png
%Indítópult%system.pif
%Indítópult%x.exe
%USERPROFILE% documentsdcscminimdcsc.exe

2. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunDarkComet RAT=”%USERPROFILE%documentsdcscminimdcsc.exe”
HKCUSoftwareMicrosoftWindowsCurrentVersionRunhelp=”%USERPROFILE%appdataroaminginstalldirhelp.exe”
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonUserInit=”%System%userinit.exe,c:usersadministratordocumentsdcscminimdcsc.exe”

3. Megfertőz egyes folyamatokat.

4. Kapcsolódik egy távoli vezérlőszerverhez, és nyit egy hátsó kaput.

5. Várakozik a támadók parancsaira, amelyeket végrehajt.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.


Hivatkozások

Egyéb referencia: isbk.hu