Govrat trójai

CH azonosító

CH-12922

Angol cím

Backdoor.Govrat

Felfedezés dátuma

2016.01.07.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000, Windows 7, Windows 8, Windows 10, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Govrat trójai is azon kártékony programok közé sorolható, amelyek a virtuális gépekről azt feltételezik, hogy a felfedezésüket szolgálják. Ezért a károkozó ellenőrzi, hogy fizikai vagy virtuális rendszerre került-e fel. Amennyiben a körülményeket megfelelőnek találja, akkor egy fájl és egy parancsikon létrehozását követően nyit egy hátsó kaput, majd várakozik a támadók parancsaira.

A Govrat jelenlegi variánsa egy Adobe Reader Speed nevű alkalmazásnak álcázza magát. A valóságban természetesen mindez a megtévesztést szolgálja, semmi köze nincs az Adobe szoftvereihez.

A Govrat fontos jellemzője, hogy képes rendszer-, illetve felhasználói adatok kiszivárogtatására.

Leírás

1. Létrehozza a következő állományt:
%UserProfile%Application DataMicrosoftInternet Explorerreader_sl.exe

2. Létrehoz egy parancsikont:
%AllUsersProfile%Start MenuProgramsStartupAdobe Reader Speed Launcher.lnk

3. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson:

4. Interneten keresztül fájlokat tölt le. Ezek között egy digitális tanúsítvány is megtalálható.

5. Kapcsolódik egy távoli kiszolgálóhoz.

6. Nyit egy hátsó kaput.

7. Ellenőrzi, hogy virtuális számítógépen fut-e.

8. További programokat szerez be, illetve futtat.

9. Rendszerinformációkat és felhasználói fiókokra vonatkozó adatokat gyűjt össze.

10. Az összegyűjtött adatokat kiszivárogtatja.

Megoldás

  • Használjon offline biztonsági mentést.
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE)