Összefoglaló
A Nonbolqu.A trójai elsősorban a banki weboldalakon megadott adatokra nézve jelent kockázatot. A károkozó ugyanis folyamatosan figyelemmel kíséri a webböngészőkben folytatott tevékenységeket és ha bizonyos banki weblapok letöltését észleli, akkor rögtön aktivizálódik. Webes átirányítást hajt végre, aminek következtében egy meghamisított, adathalász oldal jelenik meg. Amennyiben ezen a felhasználó megadja az adatait, akkor azok rögtön az adattolvajok kezébe kerülnek.
A Nonbolqu.A képes a böngészési előzmények lekérdezésére, felhasználónevek, jelszavak gyűjtésére, valamint hitelkártyaszámok kémlelésére. A megszerzett információkat pedig rendszeres időközönként feltölti egy távoli kiszolgálóra.
A Nonbolqu.A egy megtévesztő, Java frissítésnek álcázott állomány formájában terjed, de könnyen elképzelhető, hogy a jövőben esetlegesen megjelenő variánsai más ismert alkalmazások nevével is vissza fognak élni.
Leírás
1. Létrehozza a következő állományt:
“%aktuális könyvtár%java_update.exe”
2. A regisztrációs adatbázishoz hozzáadja a következő értéket:
HKCUsoftwaremicrosoftwindowscurrentversionrun�Atools=”[a trójai elérési útvonala]java_update.exe”
3. Folyamatosan monitorozza a webböngészőkben megnyitott oldalakat.
4. Amennyiben a felhasználó által megtekintett weboldal kapcsán megjelenik az alábbi kifejezések egyike, akkor átirányítást hajt végre:
aapf
bancobrasil
caixa
internet banking
itau
santander
sicoob
5. Bizalmas adatokat kér be, és gyűjt.
6. Megpróbálja megszerezni az alábbi adatokat:
– böngészők előzményei
– felhasználónevek, jelszavak
– hitelkártyaszámok.
7. Naplózza a billentyűleütéseket.
Megoldás
- Teljes rendszervizsgálat egy naprakész adatbázisú vírusírtóval.
- Egyéb eltávolító eszközök: http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=TrojanSpy:Win32/Nonbolqu.A
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu