Összefoglaló
Az Infostealer.Initowa egy trójai típusú kártevő, amely bizonyos oldalakról átirányítja a forgalmat és bizalmas információkat lop a fertőzött számítógépről.
Leírás
Az alábbi fájlok és registry bejegyzések utalhatnak a trójai jelenlétére:
- %ProgramFiles%Nrilsyetom.exe
- %Temp%1.exe
- %Temp%2.jpg
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”syetom” = “%ProgramFiles%Nrilsyetom.exe”
Az Initowa trójai az alábbi helyről tölti le a tevékenységét meghatározó konfigurációs fájlt:
- [http://]r.qzone.qq.com/cgi-bin/user/cgi_pers[REMOVED][RANDOM FILE NAME]
A konfigurációs fájl az alábbi IP címet tartalmazza, ami változhat:
- 61.202.37.132
A trójai a fertőzött gép meghajtóit végigpásztázza NPKI nevű könyvtárakat keresve. Ha talál ilyen nevű könyvtárat, a trójai lemásolja a tartalmát, és a következő címre tölti fel:
- http://[IP ADDRESS]/upload.php
Ezt követően a trójai módosítja az alábbi fájlt a forgalom átirányítása érdekében:
- %System%drivershosts.ics
Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: www.ebugg-i.com