Surge trójai

CH azonosító

CH-12840

Angol cím

Surge trojan

Felfedezés dátuma

2015.12.07.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Surge trójai egy olyan szolgáltatást regisztrál be a Windows alá, amely első ránézésre eszközszinkronizációs feladatokat végez. A valóságban azonban ebből semmi sem igaz, hiszen a károkozó ezt a szoláltatást használja arra, hogy a háttérben folyamatosan kémkedhessen.

Leírás

A Surge alapvetően kétféle módon igyekszik értékes információkhoz jutni. Egyrészt folyamatosan monitorozza a billentyűleütéseket, másrészt rendszeresen lementi a vágólap tartalmát. Az adatokat összegyűjti, és kiszivárogtatja a terjesztői számára.

A Surge fontos jellemzője, hogy további ártalmas fájlokat is képes feljuttatni a rendszerekre, miközben a saját összetevőit is tudja frissíteni.

Technikai részletek:

1. Létrehozza a következő állományt:

%AppData%MicrosoftCryptoRSAMachineKeyssgkey.data
%AppData%MicrosoftCryptoRSAMachineKeys[véletlenszerű karakterek]
%AppData%MicrosoftDeviceSync[fájlnév].exe
%AppData%MicrosoftDeviceSync[fájlnév]
%AppData%MicrosoftDeviceSync[fájlnév].dll
%Temp%RarSFX0Readme.txt

2. A regisztrációs adatbázishoz hozzáadja a következő értékeket:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDeviceSync”Type” = “0x00000120”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDeviceSync”Start” = “0x00000002”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDeviceSync”ErrorControl” = “0x00000001”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDeviceSync”ImagePath” = “[meghajtó betűjele]:Documents and SettingsAll UsersApplication DataMicrosoftDeviceSync[Legit exe name].exe”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDeviceSync”DisplayName” = “Microsoft Windows DeviceSync Service”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDeviceSync”ObjectName” = “LocalSystem”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDeviceSync”Description” = “…”

3. Létrehoz két mutexet annak érdekében, hogy egyszerre csak egy példányban induljon el.

4. Naplózza a billentyűleütések.

5. Lementi a vágólap tartalmát.

6. További fájlokat tölt le.

7. Frissíti a saját összetevőit.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket)!
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE)