Összefoglaló
A Nurjax trójai elsősorban a felhasználó webböngészési szokásait kémleli. Ennek során töretlenül figyelemmel kíséri a fertőzött számítógépről megnyitott weboldalakat. Bizonyos weblapok esetén átirányításokat hajt végre egy kártékony weboldalra. Így például a Google keresésekkor vagy az AOL weboldalainak megtekintésekor is aktivizálódik, és nemkívánatos webhelyekre vezeti a felhasználót. Egyéb weblapok esetén pedig egy hivatkozást szúr be a megjelenő oldalba.
Leírás
A Nurjax elsősorban a Program Files mappába általa létrehozott NJax nevű könyvtárba másolja be a saját fájljait, majd sok ponton manipulálja a regisztrációs adatbázist. Eközben néhány Windows-os szolgáltatást is beregisztrál, amikkel biztosítja, hogy a háttérben zavartalanul futhasson.
1. Létrehozza a következő állományokat:
%ProgramFiles%NJaxNJax.exe
%ProgramFiles%NJaxProtocolFilters.dll
%ProgramFiles%NJaxlibeay32.dll
%ProgramFiles%NJaxnfapi.dll
%ProgramFiles%NJaxnfregdrv.exe
%ProgramFiles%NJaxssleay32.dll
%ProgramFiles%NJaxuninstall_njax.exe
%System%driversmosfilterdrv.sys
%Temp%NJaxSSLNJax Intermediate SSL.cer
%Temp%NJaxSSLNJax Intermediate SSL.pvk
2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNJax”DisplayName” = „NJax”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNJax”ErrorControl” = „1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNJax”ImagePath” = „%ProgramFiles%NJaxNJax.exe”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNJax”ObjectName” = „LocalSystem”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNJax”Start” = „2”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNJax”Type” = „16”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNJaxSecurity”Security” = „[BINARY DATA]”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmosfilterdrv”DisplayName” = „mosfilterdrv”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmosfilterdrv”ErrorControl” = „1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmosfilterdrv”Group” = „PNP_TDI”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmosfilterdrv”ImagePath” = „system32driversmosfilterdrv.sys”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmosfilterdrv”Start” = „1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmosfilterdrv”Tag” = „9”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmosfilterdrv”Type” = „1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmosfilterdrvSecurity”Security” = „[BINARY DATA]”
3. Létrehoz két Windows-os szolgáltatást a következők szerint:
mosfilterdrv (%System%driversmosfilterdrv.sys)
NJax (%ProgramFiles%NJaxNJax.exe)
4. A regisztrációs adatbázisba beszúrja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOSFILTERDRV
„NextInstance” = „1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOSFILTERDRV�000
„Class” = „LegacyDriver”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOSFILTERDRV�000
„ClassGUID” = „{8ECC055D-047F-11D1-A537-0000F8753ED1}”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOSFILTERDRV�000
„ConfigFlags” = „0”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOSFILTERDRV�000
„DeviceDesc” = „mosfilterdrv”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOSFILTERDRV�000
„Legacy” = „1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOSFILTERDRV�000
„Service” = „mosfilterdrv”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NJAX”NextInstance” = „1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NJAX�000″Class” = „LegacyDriver”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NJAX�000″ClassGUID” = „{8ECC055D-047F-11D1-A537-0000F8753ED1}”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NJAX�000″ConfigFlags” = „0”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NJAX�000″DeviceDesc” = „NJax”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NJAX�000″Legacy” = „1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NJAX�000″Service” = „NJax”
5. Módosítja az Internet Explorer beállításait:
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet SettingsConnections”SavedLegacySettings” = „[BINARY DATA]”
6. Létrehozza az alábbi értékeket a regisztrációs adatbázisban:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallNJax
„Comments” = „Browse safe online with our product! It alerts you if a page is harmful for your computer (Build ID: rSRyjmkbAFar8QUk)”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallNJax
„DisplayName” = „NJax”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallNJax
„DisplayVersion” = „1.1.0”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallNJax
„Publisher” = „NINJASOFT LLC”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallNJax
„QuietUninstallString” = „”%ProgramFiles%NJaxuninstall_njax.exe” S”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallNJax
„UninstallString” = „”%ProgramFiles%NJaxuninstall_njax.exe” S”
HKEY_LOCAL_MACHINESOFTWARENJax”InstID” = „rOb0MBQXandPo6jVmKF4liSfWieXYvDD”
HKEY_LOCAL_MACHINESOFTWARENJax”Version” = „1.1.0”
7. Csatlakozik egy előre meghatározott távoli kiszolgálóhoz.
8. Letölt egy fájlt, amelyet az alábbiak szerint ment le:
%Temp%P_RuleList.txt
9. Folyamatosan monitorozza a webböngészést, és bizonyos weboldalak esetén átirányításokat hajt végre.
10. Manipulálja a webböngészőben megjelenő oldalakat, amelyekbe egy hivatkozást szúr be.
11. Letölt egy további állományt az alábbiak szerint:
%Temp%nj_update.exe
12. Ellenőrzi, hogy a számítógépen fut-e Avast védelmi alkalmazás.
Megoldás
Vírusirtó segítségével távolítsa el a fertőzést.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.isbk.hu
