Összefoglaló
A Teskilog trójai Java frissítésnek próbálja kiadni magát. Amikor a megtévesztett felhasználó letölt egy ilyen álcázott fájlt, és megnyitja azt, akkor megfelelő védelem hiányában a számítógépe rögtön megfertőződhet. Ekkor a trójai betöltődik a memóriába, és elkezdi az ízlésének megfelelően módosítani a Windows beállításait. Eközben letiltja az operációs rendszer konfigurációs eszközét (msconfig), majd különféle biztonsági szoftvereket próbál hatástalanítani.
A Teskilog elsősorban adatlopást segít elő. Első körben különféle alkalmazásokból, FTP-kliensekből exportálja ki a hitelesítő adatokat, majd a Chrome, az Internet Explorer, a Firefox és az Opera böngészők által eltárolt adatokat menti le. Eközben folyamatosan naplózza a billentyűleütéseket, rendszeresen képernyőképeket készít, és rendszerinformációkat gyűjt. Amennyiben a számítógéphez webkamera is csatlakozik, akkor azzal felvételeket készít. A megkaparintott adatokat, fájlokat végül kiszivárogtatja a terjesztői számára.
Leírás
1. Létrehozza az alábbi állományokat:
%UserProfile%shel32.exe
%Temp%JavaUpdtr.exe
%UserProfile%Application DataJavaJavaUpdtr.exe
%UserProfile%Application DataScreenShotscreen.jpeg
%UserProfile%Application DataCamCampturewebcam.jpeg
%UserProfile%Templateslog.tesla
2. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows”Load” = “%Temp%JavaUpdtr.exe”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem”DisableTaskMgr” = “1”
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsSystem”DisableCMD” = “1”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplore”NoRun” = “1”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”NoControlPanel” = “1”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”NoFolderOptions” = “1”
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”NoFolderOptions” = “1”
3. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRestore”DisableSR” = “1”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem”EnableLUA” = “0”
4. Kitörli az alábbi értéket a regisztrációs adatbázisból:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionApp PathsMSCONFIG.EXE
5. Biztonsági szoftverekhez tartozó folyamatokat próbál leállítani.
6. Az alábbi alkalmazásokból kigyűjti a hitelesítő adatokat:
FileZilla
Pidgin
FlashFXP
SmartFTP
Core FTP
FTP Commander
No-IP
Paltalk
DynDNS
Yahoo
Internet Download Manager
JDownloader
7. Kiexportálja a következő webböngészők által eltárolt felhasználói adatokat:
Chrome
Internet Explorer
Firefox
Opera
8. Képernyőképeket ment le.
9. Naplózza a billentyűleütéseket.
10. Felvételeket készít webkamera segítségével.
11. További fájlokat tölt le a számítógépre.
12. Rendszerinformációkat gyűjt össze.
13. Az összegyűjtött adatokat kiszivárogtatja.
Megoldás
Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
Támadás típusa
Hijacking (Visszaélés)Information disclosure (Információ/adat szivárgás)
Manipulation of data
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu
