Összefoglaló
A Rodagose trójai készítői semmit sem bonyolítottak el. Minden bizonnyal az egyszerűség hívei, mert a károkozójuk igencsak könnyedén képes elvégezni a nemkívánatos feladatát. Ez pedig nem merül ki másban, mint fájlok eltulajdonításában.
Leírás
A Rodagose a számítógépen mindössze két fájlt hoz létre, majd a regisztrációs adatbázis kiegészítésével gondoskodik arról, hogy a Windows újraindítása után is be tudjon töltődni. Ezt követően elkezd különféle fájlokat összegyűjteni, amelyeket nemes egyszerűséggel feltölt egy felhőalapú tárhelyre. A kártékony program jelenlegi variánsa a CloudMe szolgáltatásaiban rejlő lehetőségeket használja ki, vagyis a terjesztői nem hoztak létre saját kiszolgálót a lopott állományok fogadására és tárolására. Ehelyett e tekintetben is az egyszerűbb utat választották.
1. Létrehozza a következő állományokat:
%Windir%ctfmonm.dll
%Windir%roodgoose
2. A regisztrációs adatbázishoz hozzáadja a következő értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”dispraisers” = “regsvr32 “C:WINDOWSctfmonm.dll” /s”
3. Különféle állományokat gyűjt össze, amelyeket feltölt egy felhőalapú tárhelyre
Megoldás
Vírusirtó segítségével távolítsa el a fertőzést.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.isbk.hu