Strumapine.A trójai

CH azonosító

CH-13701

Angol cím

TrojanDropper:Win32/Strumapine.A

Felfedezés dátuma

2016.10.31.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 8, Windows 8.1, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows 10

Összefoglaló

A Strumapine.A trójai vírusterjesztésben vesz részt. Ennek során távolról vezérelhető módon képes letölteni ártalmas programokat, amelyek feltelepítéséről is gondoskodik.

Leírás

A vezérlőszervereivel a hagyományos 80-as vagy 443-as porton keresztül kommunikál, a webes, illetve a tiktosított adatforgalomba próbál elrejtőzni.  A trójai a számítógépek különféle kártevőkkel történő megfertőzése mellett alkalmas adatlopásra is. A károkozó jelenlegi variánsa karla.rar vagy katia.rar nevű állományokban terjed, de ez természetesen bármikor módosulhat, így nem célszerű e fájlnevekre hagyatkozni a védekezés során.

Technikai leírás:

A trójai módosítja a registry-t beállításait úgy, hogy a PC újraindításával minden alkalommal végrehajtódik:

  • Subkulcs: HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun 
  • Beállítási érték: “FacetimerOk”
  • Adat: “%APPDATA%amr3p5gvleui.exe”

A malware kódbefecskendezést használ, ami megnehezíti a felismerést és az eltávolítást. Képes kódbefecskendezést hajt végre a futó folyamatokban.

Csatlakozik egy távoli géphez:

  • viegaborxltda.egnyte.com 443-as porton
  • e-defender.com.br 80-as porton

Rosszindulatú vagy egyéb nemkívánatos szoftvereket telepít.

Megoldás

Használjon naprakész vírusirtó szoftvert.