Összefoglaló
A Sofluxer trójai számos fájl felmásolása, valamint a regisztrációs adatbázis manipulálása után rögtön nekilát valódi tevékenységének. Ennek keretében a terjesztői által meghatározott IP-címre átirányítja a fertőzött számítógép hálózati adatforgalmát. Ily módon próbálja a terjesztőit értékes adatokhoz juttatni, azonban az átirányítás miatt hamar fény derülhet a károkozó nemkívánatos ténykedésére.
Leírás
A kártékony program a vezérlőszerveréről időközönként konfigurációs paramétereket tölt le, amelyek alapján bizonyos szinten szabályozni lehet a kártevő működését. Emellett a Sofluxer arra is képes, hogy a saját állományait frissítse, ezáltal a funkcionalitása is bővülhet.
Amikor a trójai aktiválódik, létrehozza a következő bejegyzést a registry-ben:
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Microsoft Update Service”=%UserProfile%Application Data[RANDOM CHARACTERS][RANDOM CHARACTERS].exe
Ezt követően létrehozza a következő fájlokat:
- %UserProfile%Application Data[RANDOM CHARACTERS]lv.tmp
- %UserProfile%Application Data[RANDOM CHARACTERS]logsnginx.pid
- %UserProfile%Application Data[RANDOM CHARACTERS]mime.types
- %UserProfile%Application Data[RANDOM CHARACTERS]lsass.exe
A trójai bemásolja magát a következő helyre:
- %UserProfile%Application Data[RANDOM CHARACTERS][RANDOM CHARACTERS].exe
Átirányítja a forgalmat a következő helyre:
- [http://]103.193.4.126
Kapcsolatba lép következő kiszolgálóval:
- [http://]103.193.4.126/web/gate[REMOVED]
Az alábbi műveleteket hajtja végre:
- Konfigurációs frissítéseket tölt le
- Frissíti önmagát
- Törölheti önmagát
Megoldás
Használjon naprakész vírusirtó szoftvert.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Trójai
Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com