Összefoglaló
A Pitou trójai a spammerek számára nyújt egy olyan eszközt, amelynek segítségével a fertőzött számítógépek erőforrásainak és a rendelkezésre álló sávszélesség birtokában nagyobb mennyiségben tudnak kéretlen elektronikus leveleket kiküldeni.
Leírás
A Pitou egy távoli szerverről tölti le azokat az információkat, amelyek alapján a spamelésbe be tud kapcsolódni. Így például levélsablonokat is beszerez, amik alapján le tudja generálni az e-maileket. A trójai a vezérlőszervereinek címét nem beégetett módon tárolja, hanem egy úgynevezett DGA (Domain Generation Algorithm) segítségével generálja le azokat az URL-eket, amikhez aztán kapcsolódnia kell.
A trójai további fontos jellemzője, hogy rootkit komponensekkel is rendelkezik, amelyek segítségével képes elrejteni a saját állományát, illetve azokat a bejegyzéseit, amelyeket a regisztrációs adatbázisban hoz létre.
Technikai részletek:
1. Létrehozza a következő állományt:
%System%Drivers[véletlenszerű karakterek].sys
2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[véletlenszerű karakterek]”DisplayName” = “[véletlenszerű karakterek]”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[véletlenszerű karakterek]”ImagePath” = “%System%Drivers[véletlenszerű karakterek].sys”
HKEY_LOCAL_MACHINEsystemCurrentControlSetControlCrashControl”MinidumpDir” = “%SystemDrive%Minidump”
3. Csatlakozik különféle távoli vezérlőszerverekhez. Ehhez egy DGA (Domain Generation Algorithm) algoritmus segítéségével generál megfelelő domain neveket.
4. Rootkit összetevők segítségével megpróbálja elrejteni a fájlját, illetve a regisztrációs adatbázisban létrehozott bejegyzéseit.
5. Elektronikus levelek létrehozásához letölt különféle sablonokat.
6. Kéretlen elektronikus leveleket küld.
Megoldás
Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
Hivatkozások
Egyéb referencia: isbk.hu