Összefoglaló
A Rikamanu trójai meglehetősen jól álcázza a valódi célját, hiszen egy olyan szolgáltatás formájában fut a rendszereken, ami a neve alapján semmit sem árul el a károkozó valódi céljáról. A trójai egy infraportot kezelő szolgáltatásként fut a számítógépeken, így legfeljebb az lehet feltűnő, hogy vajon ez az összetevő miért található meg egy olyan számítógépen, ami soha nem látott infraportot.
Leírás
A Rikamanu elsődleges célja, hogy a billentyűleütések naplózásával bizalmas adatokhoz jusson. Az így megkaparintott adatokat egy DAT kiterjesztésű fájlba menti le, amit aztán rendszeres időközönként feltölt egy távoli kiszolgálóra. Ezáltal járul hozzá adatszivárogtatáshoz.
Technikai részletek
1. Létrehozza a következő állományokat:
%Windir%HelpCNDY.DAT
%System%driversIrmon.dll
2. Létrehoz egy Irmon nevű szolgáltatást.
3. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesirmon
3. Folyamatosan naplózza a billentyűleütéseket.
4. Az összegyűjtött adatokat lementi a következő állományba:
%Windir%HelpCNDY.DAT
5. Az összegyűjtött adatokat rendszeres időközönként továbbítja.
Megoldás
- Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
- Használja a Windows Defender-t Windows 8.1 rendszeren, vagy a Microsoft Security Essentials windows 7-en és Windows Vistán.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu