Összefoglaló
A Proxybrowse trójai a fertőzött számítógépeken nem hoz létre saját állományt. Ehelyett olyan módosításokat végez, amelyek a webböngészőket érintik, és a helyreállításig folyamatos kockázatot jelentenek.
Leírás
A trójai elsősorban a proxy beállításokat módosítja, amivel eléri, hogy a böngésző esetenként ártalmas weblapokat is megjelenítsen. A kártékony program jelenlegi variánsa az Internet Explorer, valamint a Firefox böngészőkkel kompatibilis.
A Proxybrowse további nemkívánatos műveletek végrehajtására is alkalmas. Ezek esetében különféle PowerShell scripteket használ fel.
Technikai Részletek:
1. Manipulálja a következő állományt:
%AppData%MozillaFirefoxProfilesprefs.js
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsAutoConfigURL = […]
HKEY_CURRENT_USERSoftwareMicrosoftSystemCertificatesRoot
3. Egy új gyökértanúsítványt ad hozzá a rendszerhez.
4. Manipulálja az Internet Explorer és a Firefox egyes (főként proxy) beállításait.
5. További műveleteket hajt végre PowerShell scriptek segítségével.
Megoldás
Naprakész vírusirtó és tűzfal használata.
Támadás típusa
TrójaiHatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
