Teskilog trójai

CH azonosító

CH-12144

Angol cím

Infostealer.Teskilog

Felfedezés dátuma

2015.04.12.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Teskilog trójai Java frissítésnek próbálja kiadni magát. Amikor a megtévesztett felhasználó letölt egy ilyen álcázott fájlt, és megnyitja azt, akkor megfelelő védelem hiányában a számítógépe rögtön megfertőződhet. Ekkor a trójai betöltődik a memóriába, és elkezdi az ízlésének megfelelően módosítani a Windows beállításait. Eközben letiltja az operációs rendszer konfigurációs eszközét (msconfig), majd különféle biztonsági szoftvereket próbál hatástalanítani.

A Teskilog elsősorban adatlopást segít elő. Első körben különféle alkalmazásokból, FTP-kliensekből exportálja ki a hitelesítő adatokat, majd a Chrome, az Internet Explorer, a Firefox és az Opera böngészők által eltárolt adatokat menti le. Eközben folyamatosan naplózza a billentyűleütéseket, rendszeresen képernyőképeket készít, és rendszerinformációkat gyűjt. Amennyiben a számítógéphez webkamera is csatlakozik, akkor azzal felvételeket készít. A megkaparintott adatokat, fájlokat végül kiszivárogtatja a terjesztői számára.

Leírás

1. Létrehozza az alábbi állományokat:
%UserProfile%shel32.exe
%Temp%JavaUpdtr.exe
%UserProfile%Application DataJavaJavaUpdtr.exe
%UserProfile%Application DataScreenShotscreen.jpeg
%UserProfile%Application DataCamCampturewebcam.jpeg
%UserProfile%Templateslog.tesla

2. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows”Load” = “%Temp%JavaUpdtr.exe”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem”DisableTaskMgr” = “1”
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsSystem”DisableCMD” = “1”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplore”NoRun” = “1”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”NoControlPanel” = “1”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”NoFolderOptions” = “1”
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”NoFolderOptions” = “1”

3. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRestore”DisableSR” = “1”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem”EnableLUA” = “0”

4. Kitörli az alábbi értéket a regisztrációs adatbázisból:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionApp PathsMSCONFIG.EXE

5. Biztonsági szoftverekhez tartozó folyamatokat próbál leállítani.

6. Az alábbi alkalmazásokból kigyűjti a hitelesítő adatokat:
FileZilla
Pidgin
FlashFXP
SmartFTP
Core FTP
FTP Commander
No-IP
Paltalk
DynDNS
Yahoo
Internet Download Manager
JDownloader

7. Kiexportálja a következő webböngészők által eltárolt felhasználói adatokat:
Chrome
Internet Explorer
Firefox
Opera

8. Képernyőképeket ment le.

9. Naplózza a billentyűleütéseket.

10. Felvételeket készít webkamera segítségével.

11. További fájlokat tölt le a számítógépre.

12. Rendszerinformációkat gyűjt össze.

13. Az összegyűjtött adatokat kiszivárogtatja.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.