Nivdort.Y trójai

CH azonosító

CH-11377

Angol cím

TrojanSpy:Win32/Nivdort.Y

Felfedezés dátuma

2014.06.30.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A Nivdort.Y trójai a gondoskodik a Windows beépített tűzfalát kikapcsolásáról, hogy a felhasználó ne tudta nélkül tudjon tevékenykedni. A trójai igyekszik megakadályozni a biztonsági cégek weboldalainak elérését, ezt a hosts fájl manipulálásával éri el, ezáltal az áldozatul esett számítógépekre nem lehet letölteni a biztonsági frissítéseket.

A Nivdort.Y trójai nyit egy hátsó kaput a számítógépeken. A 80-as portokon keresztül kommunikál a vezérlőszerverével, így képes a webes adatforgalomban elrejtőzni. A terjesztői a kártékony programot utasíthatják az adatok kiszivárogtatására és összegyűjtésére, ártalmas programok telepítésére, károkozó frissítésére és fájlok letöltésére.

Leírás

1.A következő állományokat hozza létre:
%windir%assemblynativeimages_v2.0.50727_32tempzape.tmpsystem.data.entity.design.dll
%windir%tempttnfwp17orzzxf.exe
%SYSTEM%ebiwquueqb.exe
%SYSTEM%snkunmyqngv.exe
%SYSTEM%kvuqcdeqxcfg
%SYSTEM%kvuqcdeqxetc
%SYSTEM%kvuqcdeqxrng
%SYSTEM%kvuqcdeqxrun
%SYSTEM%kvuqcdeqxtst
c:documents and settingsadministratorlocal settingstempttnfwp16zbbzxfmaitarb.exe
2.A Windows hosts állományát manipulálja.
3.Végrehajt webes átirányításokat.
4.A biztonsági cégek weboldalait elérhetetlenné teszi a fertőzött számítógépről.
5.Kikapcsolja a Windows tűzfalának értesítéseit a regisztrációs adatbázis módosításával:
HKLMSOFTWAREMicrosoftSecurity CenterFirewallDisableNotify=”1″
6.A 80-as TCP porton keresztül csatlakozik egy előre meghatározott távoli kiszolgálóhoz.
7.A terjesztői által kiadott parancsokat fogadja és végrehajtja.

Megoldás

Windows 8 és 10 esetén a Windows Defender, Windows 7 és Vista esetén a Microsoft Security Essentials vagy a Microsoft  Safety Scanner segítséget nyújthat a fertőzés detektálásában és eltávolíthatásában.