Predet trójai

CH azonosító

CH-12791

Angol cím

Predet trojan

Felfedezés dátuma

2015.11.18.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Predet trójai egy többfunkciós kártevő, amely jelentős mértékben képes hozzájárulni különféle károkozásokhoz. Elsősorban adatlopásra alkalmas összetevőket tartalmaz, amik révén rendszerinformációkat és felhasználói adatokat is képes a terjesztőihez eljuttatni. Először pontosan feltérképezi az általa megfertőzött rendszert, beleértve a telepített biztonsági alkalmazásokat is. Majd minden fontosabb paraméterről értesíti a támadókat, akik ezáltal tisztába kerülnek azzal, hogy milyen PC-ken van jelen a szerzeményük.

Leírás

A Predet a rendszerinformációk mellett a következő adatokat sem veti meg:

  • postafiókokhoz tartozó hitelesítő adatok
  • webböngészők által eltárolt információk (űrlapadatok, jelszavak stb.)
  • JDownloader és Internet Downloader Manager információk
  • Minecraft fiókadatok
  • Steam fiókinformációk
  • Bitcoin adatok.

A fentiek alapján látható, hogy a Predator a játékos kedvű felhasználók adatait sem kíméli.

Technikai részletek:

1. Létrehozza az alábbi állományokat:
%AppData%WindowsUpdate.exe
%AppData%pid.txt
%AppData%pidloc.txt
%AppData%.minecraftlastlogin
%AppData%Roamingjagex_cachereg
%AppData%Roamingjagex_cacheregPin[számítógépnév]_Pin[…].jpeg
%Temp%SysInfo.txt
%Temp%[számítógépnév]_wallet.dat
%Temp%wallet.dat
%Temp%screensscreenshot[…]_[számítógépnévjpeg
%Temp%EBFile_[…].exe
%Temp%BFile_[…].[…]
[meghajtó betűjele]:autorun.inf
[meghajtó betűjele]:Sys.exe

2. A regisztrációs adatbázishoz hozzáadja a következő értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunWindows Update = “%AppData%WindowsUpdate.exe”

3. Letiltja a Windows Feladatkezelőjét, a parancssori ablakot, a konfigurációs beállításokra szolgáló eszközt (Msconfig), valamint a regisztrációs adatbázis szerkesztőjét.
4. Információkat gyűjt össze a fertőzött rendszer hardver és szoftver környezetével kapcsolatban
5. Naplózza a billentyűleütéseket.
6. További programokat tölt le, illetve futtat.
7. Hamis üzeneteket jelenít meg.
8. Kitörli a böngészők által tárolt cookie-kat.
9. Megpróbál cserélhető meghajtókon keresztül további PC-kre felkerülni.
10. Adatokat szivárogtat ki.
11. Manipulálja a Windows Hosts állományát.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE)