Janicab trójai

CH azonosító

CH-10019

Angol cím

Janicab trojan

Felfedezés dátuma

2013.11.06.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Word

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Vista, Windows XP

Összefoglaló

A Janicab trójai a Microsoft Office sérülékenységét használja ki.

Leírás

A Janicab trójai a Microsoft Office sérülékenységét használja ki, így kártékony Word dokumentumként terjed. Egy ilyen dokumentum megnyitásakor, amennyiben a felhasználó nem rendelkezik megfelelő vírusvédelemmel, meg is fertőződik. A trójai egy hátsó kapu létesít, majd azon keresztül adatokat szivárogtat és utasításokat fogad, a vezérlőszerveréről.

Technikai részletek:

1. Létrehozza a következő állományokat:
%User Profile%Application Data.vbe
%User Profile%Start MenuMicrosoft Sync Services.lnk

2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain”Check_Associations” = “no”
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon”Shell” = “wscript.exe “%User Profile%SystemFolder.vbe””

3. Előre meghatározott URL-ek alapján YouTube weboldalakat tölt le.

4. A letöltött weboldalakon egy előre meghatározott karaktersorozatban megkeres egy URL-t, amely a vezérlőszerveréhez való kapcsolódáshoz szükséges.

5. Kapcsolódik a vezérlőszerveréhez, amelyre feltölti a következő információkat:
– a számítógép neve
– felhasználónevek
– a telepített biztonsági szoftverek neve
– a saját verziószáma.

6. A vezérlőszerverről különféle parancsokat fogad, amelyeket rögtön végre is hajt.