Összefoglaló
A Trojan.Yorasa egy olyan trójai program, ami képes letölteni más kártékony programokat.
Leírás
Amikor a trójai elindul, a következő fájlokat hozza létre:
- %Temp%[FOUR RANDOM CHARACTERS]_appcompat.txt
- %UserProfile%Application Dataservhost.exe
- %Temp%[FIVE RANDOM CHARACTERS].dmp
Ezt követően létrehozza a következő regisztrációs alkulcsokat:
- HKEY_CURRENT_USERSoftwareMicrosoftSoraya2
- HKEY_CURRENT_USERSoftwareMicrosoftS7W2@
A trójai létrehozza a következő regisztrációs adatbázis bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”WinServHost” = “%UserProfile%Application Dataservhost.exe”
Ezután a trójai kapcsolódik a távoli kiszolgálóhoz: blog.wordpress-catalog.com
Amint a kapcsolat létrejön, megpróbálja a következő tevékenységet megvalósítani:
- Bankkártya számokat és bejelentkezési adatokat lop el
- Információkat küld a távoli kiszolgálónak
- Letölt és futtat egyéb kártékony programokat
- Eltávolítja magát a fertőzött számítógépről
Megoldás
Naprakész vírusirtó futtatása.
Hivatkozások
Gyártói referencia: www.symantec.com