Összefoglaló
Az Infostealer.Fysna egy olyan trójai, mely információkat lophat a fertőzött számítógépről.
Leírás
1. A trójai a futtatás közben az alábbi fájlokat hozhatja létre:
- C:Documents and SettingsAll UsersStart MenuProgramsStartupspoolsv.exe
- %UserProfile%Local SettingsTempsystem.log
2. Az aktív felhasználói fiókhoz tartozó mappába másolhatja az alábbi fájlt :
- %UserProfile%Local SettingsTempTor.exe
3. A trójai az alábbi távoli helyhez kapcsolódhat:
- [http://]ekiga.net/i[REMOVED]
4. A vírus az alábbi reguláris kifejezéseket használva vizsgálhatja át a memóriában futó folyamatokat:
- ([0-9]{13,19}[=D][0-9]{5,50})?
- ([0-9]{13,19}[^][A-Za-zs]{0,30}[/][[A-Za-zs]{0,30}[^]([0-9s]{1,70})?)
5. A trójai ezután lefuttathatja a Tor.exe-t, és ennek segítségével az alábbi távoli helyekhez csatlakozhat:
- [http://]5ji235jysrvwfgmb.onion/sendl[REMOVED]
- [http://]5ji235jysrvwfgmb.onion/recvda[REMOVED]
6. Ezután az alábbi káros tevékenységet végehzeti el:
- Naplózza a billentyűleütéseket és a futó abllakok címét
- Elküldi az összegyűjtött információkat a távoli helyre
Megoldás
Használjon vírusírtót és tűzfalat, illetve frissítse azokat.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
