Redsip trójai

CH azonosító

CH-13050

Angol cím

Backdoor.Redsip

Felfedezés dátuma

2016.02.15.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Redsip egy klasszikus, hátsó kapu kiépítésére alkalmas trójai programnak tekinthető. Mind a működése, mind a felépítése egyszerű. Ennek ellenére nem célszerű lebecsülni, ugyanis minden feltünés nélkül képes kiszolgáltatottá tenni az általa megfertőzött rendszereket. A hátsó kapun keresztül távolról vezérelhető, és vírusterjesztési célokra is hadra fogható. Ez esetben a károkozó interneten keresztül szerzi be azokat a nemkívánatos programokat, amelyekkel el kell halmoznia a térdre kényszerített PC-ket.
A Redsip egy Adobe alkalmazásnak álcázza magát, és azt próbálja elhitetni a felhasználóval, hogy a jól ismert szoftvercég alkalmazásáról van szó. A valóságban azonban csak a fájlnevével trükközik.

Leírás

1. Létrehozza a következő állományokat:
%AllUsersProfile%updataAdobeTray.exe
%AllUsersProfile%updataMcUtil.dll
%AllUsersProfile%updataserver.db

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”updata” = “%AllUsersProfile%updata\ADOBET~1.EXE”
HKEY_CURRENT_USERSoftwareXXZH”load_path” = “[a trójai elérési útvonala]”
HKEY_CURRENT_USERSoftwareXXZH”key” = “[véletlenszerű karakterek]”

3. Csatlakozik egy távoli kiszolgálóhoz.

4. Nyit egy hátsó kaput.

5. Végrehajtja a számára kiadott parancsokat.

6. Esetenként további ártalmas programokat tölt le, illetve telepít fel.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket).
  • Használjon offline biztonsági mentést.
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool

Hivatkozások

Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu