Sesafer trójai

CH azonosító

CH-11525

Angol cím

Downloader.Sesafer

Felfedezés dátuma

2014.08.13.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows verziói

Összefoglaló

A trójai egy PCreg nevű alkalmazásnak adja ki magát. A fájljai a “pcreg” nevű mappába kerülnek be Program Files könyvtárba. Ezután a kéretlen szoftver egy Windows-os szolgáltatást hoz létre, amellyel egyrészt biztosítja, hogy a háttérben folyamatosan futhasson, másrészt a Windows újraindítása után automatikusan be tudjon töltődni.


A Sesafer konkrét vezérlőszerverekhez kapcsolódik, amelyekről különféle fájlokat tölt le. Természetesen arról is gondoskodik, hogy a beszerzett kártékony programok megfelelő módon felkerüljenek a már amúgy is fertőzött számítógépre. Mindezek mellett a trójai a regisztrációs adatbázist is számos ponton átírja, így megpróbálja a különféle biztonsági szabályokat megkerülni, és csökkenteni a védelem szintjét.

Leírás

1. Létrehozza az alábbi állományokat:
%ProgramFiles%pcreginstall32.xml
%ProgramFiles%pcreginstall64.xml
%ProgramFiles%pcreginstallXP.xml
%ProgramFiles%pcreginstall_service.xml
%ProgramFiles%pcregmsvcr100.dll
%ProgramFiles%pcregpcreg.exe
%ProgramFiles%pcregservice.exe
%Temp%file_[véletlenszerű karakterek].exe

2. Ellenőrzi, hogy létezik-e az alábbi fájlt:
%ProgramFiles%pcregservice.exe

Amennyiben nem, akkor letölti azt előre meghatározott weboldalakról.

3. Létrehoz egy “pcregservice Service” nevű Windows-os szolgáltatást.

4. A regisztrációs adatbázishoz hozzáadja az alábbi kulcsot:
HKEY_LOCAL_MACHINESYSTEMControlSet001Servicespcregservice

5. Csatlakozik távoli kiszolgálókhoz.

6. Fájlokat tölt le a szerveréről, amelyeket a következők szerint ment le:
%Temp%file_[véletlenszerű karakterek].exe
%Temp%file_to_run55[véletlenszerű karakterek].exe

6. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_PCREGSERVICE000Control
“NewlyCreated” = “0”
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_PCREGSERVICE000Control
“ActiveService” = “pcregservice”
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_PCREGSERVICE000″Service” =
“pcregservice”
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_PCREGSERVICE000″Legacy” = “1”
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_PCREGSERVICE000″ConfigFlags” = 
“0”
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_PCREGSERVICE000″Class” = 
“LegacyDriver”
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_PCREGSERVICE000″ClassGUID” =
“[…]”
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_PCREGSERVICE000″DeviceDesc” =
“pcregservice Service”
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_PCREGSERVICE”NextInstance” = “1”

7. Módosítja a regisztrációs adatbázis következő értékeit:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
policiessystem”ConsentPromptBehaviorAdmin” = “0”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
policiessystem”ConsentPromptBehaviorUser” = “0”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
policiessystem”EnableLUA” = “0”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
policiesAssociations”LowRiskFileTypes” = “.zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.
html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.log;”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
policiesAttachments”SaveZoneInformation” = “1”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
policiesAttachments”HideZoneInfoOnProperties” = “1”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
policiesExplorer”HideSCAHealth” = “1”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
PoliciesExplorer”HideSCAHealth” = “1”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
PoliciesAssociations”LowRiskFileTypes” = “.zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;
.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.log;”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
PoliciesAttachments”SaveZoneInformation” = “1”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
PoliciesAttachments”HideZoneInfoOnProperties” = “1”

Megoldás

Windows Defender és a vírusírtók naprakészen tartása.