CH azonosító
CH-11864Angol cím
Infostealer.MorstupFelfedezés dátuma
2014.12.09.Súlyosság
AlacsonyÉrintett rendszerek
MicrosoftWindows 2000
Windows 7
Windows 98
Windows Millenium
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Érintett verziók
Microsoft
Összefoglaló
A Morstup trójai leginkább kémkedési célokkal terjed. Az általa megfertőzött számítógépeken először a webböngészőket manipulálja, és azok egyes beállításainak megváltoztatásával próbálja megkönnyíteni a saját dolgát. Emellett az Internet Explorer, a Firefox, valamint a Chrome alkalmazások megfertőzésével igyekszik elősegíteni az adatlopást.
A Morstup a Windows hálózatkezeléshez kapcsolódó API-jait is felhasználja ahhoz, hogy a webes adatforgalomba “belelásson”. Ezáltal a trójai képes a kimenő adatok vizsgálatára, illetve lementésére.
A kártékony program az összegyűjtött adatokat egy előre meghatározott kiszolgálóra tölti fel.
Leírás
1. Létrehozza a következő állományokat:
%UserProfile%Application Data[véletlenszerű karakterek].vbs
%SystemDrive%Documents and SettingsAll UsersStart MenuProgramsStartup[véletlenszerű karakterek][véletlenszerű karakterek].bat
%SystemDrive%Documents and SettingsAll UsersStart MenuProgramsStartup[véletlenszerű karakterek].exe
2. Megfertőzi az alábbi webböngészőket, illetve az azokhoz tartozó folyamatokat:
Internet Explorer
Chrome
Firefox.
3. Módosítja a webböngészők beállításait.
4. Letiltja a SPDY protokoll támogatását.
5. Hálózatkezeléshez tartozó API-k felhasználásával folyamatosan figyelemmel kíséri a kimenő HTTP adatforgalmat.
6. Az összegyűjtött adatokat feltölti egy távoli kiszolgálóra.
Támadás típusa
Information disclosure (Információ/adat szivárgás)System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: www.isbk.hu