Tenpeq.E trójai

CH azonosító

CH-12416

Angol cím

Tenpeq.E

Felfedezés dátuma

2015.07.08.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Tenpeq.E trójai legfontosabb feladata, hogy egy hátsó kaput létesítsen a fertőzött rendszereken. Amennyiben ez sikerül, akkor türelmesen várakozik a támadók parancsaira, amelyeket észrevétlenül végrehajt.

Leírás

A terjesztői egyebek mellett az alábbi feladatok elvégzésére vehetik rá a káros kódot:

  • fájlműveletek
  • fájlok le- és feltöltése
  • rendszerbeállítások manipulálása
  • folyamatok leállítása vagy elindítása
  • billentyűleütések naplózása
  • fájlok feltöltése.

A Tenpeq.E – hasonlóan a korábbi variánsához – egy Fobay nevű alkalmazásnak adja ki magát, és ilyen módon kerül be a Program Files mappába. Emellett azonban a Windows svchost.exe nevű rendszerfolyamatának ismertségével is visszaél, és e néven fut a rendszeren.

Technikai részletek:

1. Létrehozza a következő állományokat:
%CommonProgramFiles%services360siom.exe
%CommonProgramFiles%servicespotplayer.dll
%ProgramFiles%fobaycc.exe
%ProgramFiles%fobaypotplayer.dll

2. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.

3. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKLMsoftwaremicrosoftwindowscurrentversionrunFObay=”%ProgramFiles%fobaycc.exe”
HKLMsoftwaremicrosoftwindowscurrentversionrunsysteo=”%System%svchost.exe”

4. Különféle folyamatokat fertőz meg.

5. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.

6. Szerepet vállal adatszivárogtatásban.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.