Poshook trójai

CH azonosító

CH-12915

Angol cím

Poshook trojan

Felfedezés dátuma

2016.01.07.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Poshook trójai olyan összetevőkkel rendelkezik, amelyek segítségével bank- és hitelkártyaszámokra tehet szert. A POS kompatibilis malware-ek mintájára elsősorban a memória tartalmának változását követi nyomon. Ennek keretében folyamatosan szkenneli a különféle folyamatokhoz tartozó memóriaterületeket, és ha kártyainformációkra akad (például mintaillesztéssel), akkor azokat összegyűjti, majd feltölti az adattolvajok szerverére.

Leírás

A Poshook egyebek mellett a Windows operációs rendszereken jól ismert svchost.exe nevű folyamat ismertségét használja fel, és egy ugyanilyen nevű folyamat formájában fut.

Technikai részletek:

1. Létrehozza a következő állományokat:

  • %UserProfile%Application DataResourcinglsmon.exe
  • %UserProfile%Application DataResourcingntfd.dat
  • %UserProfile%Application Datasvchost.exe
  • %UserProfile%Application Datasystem.pif

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Memory Resource” = %UserProfile%Application DataResourcinglsmon.exe

3. A regisztrációs adatbázisban manipulálja a következő bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3″1806″ = “0”

4. Módosítja, kiegészíti a Windows hosts állományát.

5. Folyamatosan kémleli a memória tartalmát.

6. Bank- és hitelkártyákhoz köthető adatokat kutat fel.

7. Az összegyűjtött adatokat feltölti egy távoli kiszolgálóra.

Megoldás

  • Használjon offline biztonsági mentést.
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE)