Olymvis trójai

CH azonosító

CH-13155

Angol cím

Infostealer.Olymvis

Felfedezés dátuma

2016.04.05.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 8, Windows 8.1, Windows 10, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

Az Olymvis egy adatlopásra specializálódott trójai, amely több forrásból próbál adatokhoz jutni. Naplózza a billentyűleütéseket, összegyűjti a számítógépen tárolt felhasználóneveket és jelszavakat – FTP-kliensekből, azonnali üzenetküldőkből és böngészőkből, valamint e-mail kliensekből -, illetve kiexportálja a Windows licenckulcsát, amit szintén eljuttat a terjesztőihez.


Az Olymvis az adatszivárogtatást két csatornán keresztül képes megvalósítani. Elsősorban egy FTP-szerverrel kommunikál, de szükség esetén HTTP-n keresztül is el tudja juttatni az adatokat az arra kijelölt szerverekre.

Leírás

  1. Létrehozza a következő állományokat:
    %Temp%[véletlenszerű karakterek].exe
    %AppData%RoamingSystem.exe
  2. Megfertőzi a System.exe-hez tartozó folyamatot
  3. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[RANDOM CHARACTERS]” = “%Temp%[].exe”
    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Key Strock” = “%AppData%RoamingSystem.exe”
  4. Kapcsolódik egy távoli kiszolgálóhoz, és nyit egy hátsó kaput.
  5. Naplózza a billentyűleütéseket.
  6. Felhasználóneveket és jelszavakat gyűjt össze.
  7. Kiexportálja a Windows licenckulcsát.
  8. Az összegyűjtött adatokat feltölti távoli kiszolgálókra.

Megoldás

  • Használjon naprakész vírusírtót
  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket)
  • Használjon offline biztonsági mentést
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE)