Összefoglaló
A Strumapine.A trójai vírusterjesztésben vesz részt. Ennek során távolról vezérelhető módon képes letölteni ártalmas programokat, amelyek feltelepítéséről is gondoskodik.
Leírás
A vezérlőszervereivel a hagyományos 80-as vagy 443-as porton keresztül kommunikál, a webes, illetve a tiktosított adatforgalomba próbál elrejtőzni. A trójai a számítógépek különféle kártevőkkel történő megfertőzése mellett alkalmas adatlopásra is. A károkozó jelenlegi variánsa karla.rar vagy katia.rar nevű állományokban terjed, de ez természetesen bármikor módosulhat, így nem célszerű e fájlnevekre hagyatkozni a védekezés során.
Technikai leírás:
A trójai módosítja a registry-t beállításait úgy, hogy a PC újraindításával minden alkalommal végrehajtódik:
- Subkulcs: HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun
- Beállítási érték: “FacetimerOk”
- Adat: “%APPDATA%amr3p5gvleui.exe”
A malware kódbefecskendezést használ, ami megnehezíti a felismerést és az eltávolítást. Képes kódbefecskendezést hajt végre a futó folyamatokban.
Csatlakozik egy távoli géphez:
- viegaborxltda.egnyte.com 443-as porton
- e-defender.com.br 80-as porton
Rosszindulatú vagy egyéb nemkívánatos szoftvereket telepít.
Megoldás
Használjon naprakész vírusirtó szoftvert.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Trójai
Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.microsoft.com