Összefoglaló
A Trojan.Premele egy olyan trójai, mely potenciálisan veszélyes fájlokat tölthet le a fertőzött számítógépre.
Leírás
A trójai egy hamis Adobe Flash frissítésként érkezik, és manuális telepítést és futtatást igényel.
Futáskor az alábbi fájlokat hozza létre a malware:
- %AllUsersProfile%ms[RANDOM LETTERS FILE NAME].exe
A program az állandó futás érdekében az alábbi bejegyzést teszi a regisztrációs adatbázisban:
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun”27677″ = “%Windir%docume~1alluse~1ms[RANDOM LETTERS FILE NAME].exe”
A trójai az alábbi módosításokat hajtja végre a regisztrációs adatbázisban:
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”TaskbarNoNotification” = “1”
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”HideSCAHealth” = “1”
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer”HideSCAHealth” = “1”
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer”TaskbarNoNotification” = “1”
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess”Start” = “4”
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc”Start” = “4”
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswuauserv”Start” = “4”
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem”EnableLUA” = “0”
A trójai az alábbi helyekhez csatlakozhat:
- [http://]premium.zam99.com/google_checkout/library/and/gate[REMOVED]
- [http://]premium.1981tokyo.com/google_checkout/library/and/gate[REMOVED]
- [http://]premium.zeez-shock.com/google_checkout/library/and/gate[REMOVED]
A káros program potenciálisan veszélyes fájlokat tölthet le a fertőzött számítógépre.
Megoldás
Használjon vírusírtót és tűzfalat, illetve rendszeresen frissítse azokat.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Other (Egyéb)
System access (Rendszer hozzáférés)
Unknown (Ismeretlen)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com