Potao trójai

CH azonosító

CH-12517

Angol cím

Trojan.Potao

Felfedezés dátuma

2015.08.09.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Potao trójai alapvetően két részből épül fel. Egy alapmodulból, amely csak alapszintű funkcionalitást biztosít, viszont képes hozzájárulni a trójai képességeinek kiterjesztéséhez. A károkozó másik összetevőjét pedig egy moduláris alrendszer alkotja, ami tetszés szerint bővíthető különféle kiegészítőkkel. A bővítményeket az alapmodul tölti le távoli vezérlőszerverekről, így a terjesztői olyan szolgáltatásokkal vértezhetik fel a kártevőt, amire éppen szükségük van.

A Potao alapmodulja nemcsak arra képes, hogy bővítményeket szerezzen be, hanem arra is, hogy hátsó kaput nyisson a rendszeren. Ez esetben is azokhoz a kiszolgálókhoz kapcsolódik, amelyekről a kiegészítőit tudja letölteni.

Leírás

1. Létrehozza a következő állományokat:
%UserProfile%Application DataMicrosoft[véletlenszerű karakterek].dll
%UserProfile%Local SettingsTemp[véletlenszerű karakterek].tmp

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[véletlenszerű karakterek]”=”rundll32.exe %UserProfile%Application DataMicrosoft[véletlenszerű karakterek].dll”

3. Létrehoz egy Microsoft Word ikonnal ellátott parancsikont.

4. Megnyit egy ártalmatlan Word dokumentumot.

5. Kapcsolódik távoli kiszolgálókhoz.

6. Nyit egy hátsó kaput.

7. Különféle kártékony modulokat tölt le.

Megoldás

  • Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
  • Használja a Windows Defender-t Windows 8.1 rendszeren, vagy a Microsoft Security Essentials  windows 7-en és Windows Vistán.