Összefoglaló
A Trojan.Rokamal egy trójai kártevő, amely bizalmas információkat szerez a fertőzött számítógépről. Ezen felül hátsó kaput nyit és DDoS támadások résztvevőjeként használhatják fel a fertőzött gépet.
Leírás
A következő fájlokat hozza létre:
- %UserProfile%Application Datamsconfig.ini
- %ProgramFiles%StartupGoogle.com.url
- %UserProfile%Application Data[9 RANDOM DIGITS].exe
- %SystemDrive%{$[16 RANDOM DIGITS]$}comhost.exe
- %Temp%[4 RANDOM DIGITS]
- %UserProfile%Application DataInstallHost.exe
A következő registry bejegyzést hozza létre annak érdekében, hogy a Windows minden indulásakor betöltődjön:
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”Windows COM Host” = “%SystemDrive%{$[16 RANDOM DIGITS]$}comhost.exe -rundll32 /SYSTEM32 %System%taskmgr.exe” “%ProgramFiles%MicrosoftWindows””
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”NetWire” = “%UserProfile%Application DataInstallHost.exe”
Számos további registry bejegyzést hoz létre.
A trójai a következő tevékenységeket végezheti a fertőzött számítógépen:
- E-mail profil adatokat lop a Microsoft Outlook-ból.
- Tárolja a billentyűleütéseket
- Parancsértelmezőt indít
- DDoS támadásban vehet részt
- Web proxy-vá alakítja a fertőzött gépet
- Virtuális pénz információkat lop
A trójai jelszavakat lophat a következő böngészőkből:
- Internet Explorer
- Opera
- Chrome
- Firefox
Hivatkozások
Egyéb referencia: www.symantec.com