Initowa trójai

CH azonosító

CH-11224

Angol cím

Infostealer.Initowa

Felfedezés dátuma

2014.06.03.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 98, Windows 95, Windows XP, Windows Server 2008, Windows 7, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

Összefoglaló

Az Infostealer.Initowa egy trójai típusú kártevő, amely bizonyos oldalakról átirányítja a forgalmat és bizalmas információkat lop a fertőzött számítógépről.

Leírás

Az alábbi fájlok és registry bejegyzések utalhatnak a trójai jelenlétére:

  • %ProgramFiles%Nrilsyetom.exe
  • %Temp%1.exe
  • %Temp%2.jpg 

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”syetom” = “%ProgramFiles%Nrilsyetom.exe” 

Az Initowa trójai az alábbi helyről tölti le a tevékenységét meghatározó konfigurációs fájlt:

  • [http://]r.qzone.qq.com/cgi-bin/user/cgi_pers[REMOVED][RANDOM FILE NAME] 

A konfigurációs fájl az alábbi IP címet tartalmazza, ami változhat:

  • 61.202.37.132 

A trójai a fertőzött gép meghajtóit végigpásztázza NPKI nevű könyvtárakat keresve. Ha talál ilyen nevű könyvtárat, a trójai lemásolja a tartalmát, és a következő címre tölti fel:

  • http://[IP ADDRESS]/upload.php 

Ezt követően a trójai módosítja az alábbi fájlt a forgalom átirányítása érdekében:

  • %System%drivershosts.ics