Rerdom trójai

CH azonosító

CH-12422

Angol cím

Rendrom trojan

Felfedezés dátuma

2015.07.09.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Rerdom trójai egy jól behatárolható cél érdekében terjed. Az áldozatául eső rendszereket igyekszik bevonni olyan csalásokba, amelyek révén a vírusterjesztők anyagi bevételhez juthatnak. A kártékony program elsősorban online hirdetésekkel próbál trükközni, és kattintás alapú csalásokkal igyekszik hozzájárulni a kiszemelt célpontok megkárosításához.

Leírás

A Rerdom egy távoli szerverről szerzi be azokat az információkat (jelesül URL-eket), amelyek révén a csalásokba be tud kapcsolódni. Vagyis a terjesztői pontosan meghatározhatják, hogy milyen módon kell a károkozónak bevételre szert tennie.

A Rerdom számos fájlt hoz létre a rendszereken és ütemezett feladatokkal is megpróbál trükközni, hogy a háttérben, automatikusan elindulhasson, és észrevétlenül végezhesse a dolgát.

Technikai részletek:

1. Létrehozza a következő állományokat:
%SystemDrive%Documents and SettingsAll UsersApplication DataGyobqoce
%SystemDrive%Documents and SettingsAll UsersApplication DataGyobqoceovonx.exe
%SystemDrive%Documents and SettingsAll UsersApplication DataLaqixea
%SystemDrive%Documents and SettingsAll UsersApplication DataLaqixeayzmiylq.exe
%UserProfile%Local SettingsTemporary Internet FilesContent.IE5K9QRKXI38230c6830948e3dd25f948b[1].txt
%Windir%TasksSecurity Center Update – 1365537861.job
%Windir%TasksSecurity Center Update – 2710767946.job
%System%utvianpefo.exe
%System%uxvuemtar.exe

2. A regisztrációs adatbázis alábbi kulcsaihoz új értékeket fűz hozzá:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesSecurityCenterServer2710767946
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesSecurityCenterServer1365537861
HKEY_LOCAL_MACHINESystemCurrentControlSetEnumRootLEGACY_SECURITYCENTERSERVER2710767946
HKEY_LOCAL_MACHINESystemCurrentControlSetEnumRootLEGACY_SECURITYCENTERSERVER1365537861

3. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”Yxipekokcyw” = “”%SystemDrive%Documents and SettingsAll UsersApplication DataLaqixeayzmiylq.exe””
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”Emomdycufy” = “”%SystemDrive%Documents and SettingsAll UsersApplication DataGyobqoceovonx.exe””
HKEY_LOCAL_MACHINESoftwareDguqszfqxx”License” = “1bc”
HKCUSoftwareMicrosoftWindowsCurrentVersionRun”Emomdycufy” = “”%SystemDrive%Documents and SettingsAll UsersApplication DataGyobqoceovonx.exe””
HKEY_CURRENT_USERSoftwareDguqszfqxx”License” = “1bc”

4. A regisztrációs adatbázisból kitörli az alábbi kulcshoz tartozó bejegyzéseket:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlSafeBoot

6. Csatlakozik távoli kiszolgálókhoz, amelyekről fájlokat tölt le. Az így beszerzett információk között URL-ek is feltűnnek.

7. Kattintás alapú csalásokba vonja be a fertőzött számítógépet.

Megoldás

Antivírus szoftverét tartsa naprakészen.