Pospunk.A trójai

CH azonosító

CH-12364

Angol cím

TSPY_POSPUNK.A

Felfedezés dátuma

2015.06.22.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows XP, Windows Vista, Windows 7, Windows 8

Összefoglaló

A Pospunk.A trójai legfontosabb feladata nem más, mint az adatlopás. Ugyanakkor a károkozó elsősorban nem hagyományos PC-ket fertőz, hanem sokkal inkább POS terminálokra igyekszik felkerülni. Ezekre mindössze két állományt másol fel, amelyek révén képessé válik a memória folyamatos megfigyelésére, illetve a billentyűleütések naplózására. Az ilyen módon összegyűjtött adatokat pedig rendszeresen kiszivárogtatja a terjesztői számára.

A Pospunk trójai a Windows explorer.exe folyamatát fertőzi meg, majd időnként interneten keresztül frissíti a saját állományait. Ezáltal újabb funkciókkal gyarapodhat. 

A trójai elsősorban kártékony weboldalakról vagy egyéb ártalmas programok közreműködésével kerülhet fel a terminálokra.

Leírás

1. Létrehozza a következő állományokat:
%AppDataLocal%juschedjusched.exe
%AppDataLocal%juschedDllx64.dll

2. Megfertőzi a Windows explorer.exe folyamatát.

3. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunjusched = “%AppDataLocal%juschedjusched.exe -s”

4. Folyamatosan naplózza a billentyűleütéseket.

5. Az összegyűjtött adatokat rendszeres időközönként felölti távoli kiszolgálókra.

6. Interneten keresztül letölt egy kártékony fájlt, amelyet temp.exe néven ment le.

7. Frissíti a saját állományait.

8. Monitorozza az alábbi folyamatokhoz tartozó memóriaterületeket:
wuauclt.exe
alg.exe
spoolsv.exe
lsass.exe
winlogon.exe
csrss.exe
smss.exe
System
explorer.exe
iexplore.exe
svchost.exe

9. Az összegyűjtött adatokat kiszivárogtatja.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.