Összefoglaló
A Ramdo.A egy olyan trójai, mellyel a támadó kattintásos csalást hajthat végre és a biztonsági szoftverek több funkcióát is letilthatja.
Leírás
A trójai a %APPDATA%version.dll fájlba helyezi magát, majd átnevezi magát <startup folder>HpM3Util.exe-re annak érdekében, hogy a Windows minden indításakor elinduljon.
Az alábbi adatokat hozza létre a regisztrációs adatbázisban:
- HKCUSOFTWAREAdobeAdobe ARM1.0ARM = “tLast_ReadedSpec“
- HKCUSOFTWAREAdobeAdobe ARM1.0ARM = “tLastCollab_doc“
Letilthat bizonyos biztonsági funkciókat
A káros kód beépül az összes 32-bit-es folyamatba és megkísérli leállítani az alábbi DLL fájlokat:
- UMEngx86.dll
- wl_hook.dll
Ezeket a fájlokat különböző biztonsági szoftverek használják, tehát a sikeres kikapcsolás a biztonsági rendszer sérüléséhez vezethet.
Szerverhez kapcsolódik
A trójai az alábbi információkat kísérli meg összegyűjteni:
- az operációs rendszer verziója
- virtuális környezet adatai
- Adobe Flash verziója
- processzorok száma
- a PC GUID-ja
A szerverről érkező paracsoktól függően az alábbi események következhetnek be:
- Frissíti magát
- Frissíti a konfigurációját
- Modulokat futtat
Kattintásos csalás
A trójai kattintásos csalást idézhet elő: a 95.211.193.11 (isstarmina.net) címen lévő reklámokra kattint a program.
A processzorok számától függően több fájlt is elindíthat a káros kód, és az alábbi folyamatokba ágyazódhat be:
- %SystemRoot%twunk_32.exe
- %SystemRoot%winhlp32.exe
Az alábbi adatokat hozza létre a regisztrációs adatbázisban a böngésző elrejtése érdekében: HKCUSOFTWAREMicrosoftInternet ExplorerMainFeatureControlFEATURE_BROWSER_EMULATION
- twunk_32.exe = “9000“
- winhlp32.exe = “9000“
Megoldás
Használjon vírusírtót és tűzfalat, illetve időnként frissítse azokat.
Támadás típusa
Information disclosure (Információ/adat szivárgás)System access (Rendszer hozzáférés)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.microsoft.com