Összefoglaló
Az Odlanor trójai készítői kifejezetten egy célterületre élezték ki a kártékony programjukat. Ez pedig nem más, mint a PokerStars. Ha a trójai megfertőz egy számítógépet, akkor azonnal feltérképezi azt, hogy a rendszeren fut-e a PokerStars alkalmazás. Mindezt olyan módon teszi meg, hogy a nyitott ablakok tulajdonságait (például címsorát) vizsgálja. Ha pedig észleli a pókeres szoftver jelenlétét, akkor rögtön nekilát képernyőképek lementéséhez.
Az Odlanor nemcsak a póker iránt mutat fokozott érdekélődést, hanem a rendszerinformációkat sem veti meg. Így például kiszivárogtatja a számítógép nevét, az operációs rendszer verzióját és a rendszerbe bejelentkezett felhasználó fiókinformációit.
Leírás
1. Létrehozza a következő fájlokat:
%SystemDrive%__pkrw_update.exe
%SystemDrive%__2.exe
%SystemDrive%__1.exe
%SystemDrive%e.exe
2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”pkrw” = %SystemDrive%[…]
3. Ellenőrzi, hogy van-e nyitott PokerStars ablak.
4. Amennyiben van, akkor képernyőképeket készíti a PokerStars ablakáról.
5. Rendszerinformációkat gyűjt össze, illetve szivárogtat ki.
6. További ártalmas fájlokat tölt le, illetve futtat.
7. Frissíti a saját állományait.
8. Szükség esetén eltávolítja saját magát.
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
- Használjon offline biztonsági mentést!
- Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool.
Támadás típusa
Hijacking (Visszaélés)Information disclosure (Információ/adat szivárgás)
Trójai
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu