Összefoglaló
A Sapaviro trójai elsősorban elektronikus levelek csatolmányaként kerülhet fel a számítógépekre. Amikor ez megtörténik, és a felhasználó elindítja, akkor a károkozó rögtön kapcsolódik egy távoli szerverhez, amelyről letölt egy fájlt. Ezt a Windows átmeneti fájlok tárolására szolgáló mappájába menti le. A továbbiakban ez a fájl fog felelni azért, hogy a trójai elláthassa a feladatát.
Leírás
A Sapavironak mindössze egy célja van. Ez pedig nem más, mint hogy az áldozatául eső számítógépekről néhány információval szolgáljon a terjesztői számára. Elsősorban a számítógép nevére, illetve az operációs rendszer legfontosabb paramétereire kíváncsi.
Technikai részletek:
1. Kapcsolódik egy távoli vezérlőszerverhez.
2. A szerverről letölt egy fájlt, amit a következőképpen ment le:
%Temp%[véletlenszerű karakterek].exe
3. Elindítja a letöltött állományt.
4. Lekérdezi a számítógép nevét.
5. Lekérdezi az operációs rendszer legfontosabb paramétereit.
6. Az összegyűjtött adatokat kiszivárogtatja.
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
- Használjon offline biztonsági mentést!
- Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool
Támadás típusa
Hijacking (Visszaélés)Information disclosure (Információ/adat szivárgás)
Trójai
backdoor
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com