Infostealer.Hoardy

CH azonosító

CH-10223

Angol cím

Infostealer.Hoardy

Felfedezés dátuma

2013.12.22.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7
Windows Vista
Windows XP

Érintett verziók

Windows 2000, Windows 7, Windows NT, Windows Vista, Windows XP

Összefoglaló

A Hoardy egy trójai kártevő, amely hátsókaput nyit a fertőzött rendszeren, információt lop, valamint további kártékony fájlokat tölthet le.

Leírás

A Hoardy kártékony e-mail csatolmányok útján érkezik.
A következő fájlokat hozza létre:

    %Temp%spoolsv.exe
    %Temp%1.EXE
    %Temp%wuauclt.exe
    %Temp%spoolsv.exe
    %Temp%csrssc.exe
    %Temp%wmiprvse.exe
    %UserProfile%Application DataMicrosoftWindowsrasauto.exe
    C:Documents and SettingsAll UsersStart MenuProgramsStartupsys_log.log
    C:Documents and SettingsAll UsersStart MenuProgramsStartupAdobe Gamma Loader.lnk
    C:Documents and SettingsAll UsersStart MenuProgramsStartupsys_log.log
    C:Documents and SettingsAll UsersStart MenuProgramsStartupOutlook.lnk


Az alábbi registry bejegyzéseket hozza létre:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAIN”DEPOff” = 0x00000001
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”infme” = “”%TEMP%wmiprvse.exe””
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerPhishingFilter”Enabled” = 0x00000001
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerPhishingFilter”ShownVerifyBalloon” = 0x00000003
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain”Check_Associations” = “no”
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain”DisableFirstRunCustomize” = 0x00000002
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain”Start Page” = “about:blank”
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerRecovery”AutoRecover” = 0x00000002
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings”IEHardenIENoWarn” = 0x00000000
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMap”IEHarden” = 0x00000000
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings”WarnOnPostRedirect” = 0x00000000
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings”WarnOnZoneCrossing” = 0x00000000
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3″2500″ = 0x00000003

Miután hátsókaput nyit a fertőzött számítógépen, a következő URL-ek valamelyikéhez próbál csatlakozni:


    [http://]facebookhello.h1x.com/my[REMOVED]
    [http://]www.teleramafr.com
    [http://]site.belgiquede.com

A Hoardy a számítógép nevét és a Windows verzióját továbbítja a támadónak.

A támadótól kapott utasítások alapján parancsokat hajthat végre, illetve további káros tartalmú fájlokat tölthet le és futtathat a fertőzött rendszeren.

Megoldás

Rendszeresen frisítse a víruskereső adatbázisát.