Összefoglaló
A Proxybrowse trójai a fertőzött számítógépeken nem hoz létre saját állományt. Ehelyett olyan módosításokat végez, amelyek a webböngészőket érintik, és a helyreállításig folyamatos kockázatot jelentenek.
Leírás
A trójai elsősorban a proxy beállításokat módosítja, amivel eléri, hogy a böngésző esetenként ártalmas weblapokat is megjelenítsen. A kártékony program jelenlegi variánsa az Internet Explorer, valamint a Firefox böngészőkkel kompatibilis.
A Proxybrowse további nemkívánatos műveletek végrehajtására is alkalmas. Ezek esetében különféle PowerShell scripteket használ fel.
Technikai Részletek:
1. Manipulálja a következő állományt:
%AppData%MozillaFirefoxProfilesprefs.js
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsAutoConfigURL = […]
HKEY_CURRENT_USERSoftwareMicrosoftSystemCertificatesRoot
3. Egy új gyökértanúsítványt ad hozzá a rendszerhez.
4. Manipulálja az Internet Explorer és a Firefox egyes (főként proxy) beállításait.
5. További műveleteket hajt végre PowerShell scriptek segítségével.
Megoldás
Naprakész vírusirtó és tűzfal használata.
Támadás típusa
TrójaiHatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu