Nitovel trójai

CH azonosító

CH-12295

Angol cím

Nitovel

Felfedezés dátuma

2015.06.01.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Nitovel trójai egy régóta ismert trükköt alkalmaz ahhoz, hogy a rendszereken minél kevesebb feltűnést keltsen. A kártékony program az ADS (Alternate Data Streams) adta előnyökkel él vissza, és a felhasználó Temp könyvtára mögé igyekszik elrejtőzni. Ennek következtében a Windows Intézőben, illetve a hagyományos fájlkezelő alkalmazásokban sem látható az a két állománya, amelyek a trójai működéséhez elengedhetetlenek.

Leírás

A Nitovelnek mindössze egy feladata van, de azt üzembiztosan képes elvégezni. A károkozó a rendszeren futó folyamatokhoz tartozó memóriaterületeket kémleli, és bank-, illetve hitelkártyákhoz tartozó (track 1, track 2) adatokat próbál kigyűjteni. Amennyiben ez sikerül számára, akkor az értékes információkat – titkosított csatornán keresztül – feltölti távoli kiszolgálókra.

Technikai részletek

1. Felmásolja a rendszerre a saját kódját a következők szerint:
%UserProfile%Local SettingsTemp:defrag.scr
%UserProfile%Local SettingsTemp:defrag.vbs

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_LOCAL_MACHINELMSOFTWAREMicrosoftWindowsCurrentVersionRun”Defrag” = “wscript %UserProfile%Local SettingsTemp:defrag.vbs”

3. Bank- és hitelkártyákhoz kapcsolódó adatokat keres egyes folyamatokhoz tartozó memóriaterületek folyamatos monitorozásával.

4. Az összegyűjtött adatokat feltölti előre meghatározott távoli kiszolgálókra. Ehhez titkosított, HTTPS kapcsolatot használ.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com