Összefoglaló
A Pospunk.A trójai legfontosabb feladata nem más, mint az adatlopás. Ugyanakkor a károkozó elsősorban nem hagyományos PC-ket fertőz, hanem sokkal inkább POS terminálokra igyekszik felkerülni. Ezekre mindössze két állományt másol fel, amelyek révén képessé válik a memória folyamatos megfigyelésére, illetve a billentyűleütések naplózására. Az ilyen módon összegyűjtött adatokat pedig rendszeresen kiszivárogtatja a terjesztői számára.
A Pospunk trójai a Windows explorer.exe folyamatát fertőzi meg, majd időnként interneten keresztül frissíti a saját állományait. Ezáltal újabb funkciókkal gyarapodhat.
A trójai elsősorban kártékony weboldalakról vagy egyéb ártalmas programok közreműködésével kerülhet fel a terminálokra.
Leírás
1. Létrehozza a következő állományokat:
%AppDataLocal%juschedjusched.exe
%AppDataLocal%juschedDllx64.dll
2. Megfertőzi a Windows explorer.exe folyamatát.
3. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunjusched = “%AppDataLocal%juschedjusched.exe -s”
4. Folyamatosan naplózza a billentyűleütéseket.
5. Az összegyűjtött adatokat rendszeres időközönként felölti távoli kiszolgálókra.
6. Interneten keresztül letölt egy kártékony fájlt, amelyet temp.exe néven ment le.
7. Frissíti a saját állományait.
8. Monitorozza az alábbi folyamatokhoz tartozó memóriaterületeket:
wuauclt.exe
alg.exe
spoolsv.exe
lsass.exe
winlogon.exe
csrss.exe
smss.exe
System
explorer.exe
iexplore.exe
svchost.exe
9. Az összegyűjtött adatokat kiszivárogtatja.
Megoldás
Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Trójai
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.trendmicro.com
Egyéb referencia: isbk.hu