Összefoglaló
A Trojan.Yorasa egy olyan trójai program, ami képes letölteni más kártékony programokat.
Leírás
Amikor a trójai elindul, a következő fájlokat hozza létre:
- %Temp%[FOUR RANDOM CHARACTERS]_appcompat.txt
- %UserProfile%Application Dataservhost.exe
- %Temp%[FIVE RANDOM CHARACTERS].dmp
Ezt követően létrehozza a következő regisztrációs alkulcsokat:
- HKEY_CURRENT_USERSoftwareMicrosoftSoraya2
- HKEY_CURRENT_USERSoftwareMicrosoftS7W2@
A trójai létrehozza a következő regisztrációs adatbázis bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”WinServHost” = “%UserProfile%Application Dataservhost.exe”
Ezután a trójai kapcsolódik a távoli kiszolgálóhoz: blog.wordpress-catalog.com
Amint a kapcsolat létrejön, megpróbálja a következő tevékenységet megvalósítani:
- Bankkártya számokat és bejelentkezési adatokat lop el
- Információkat küld a távoli kiszolgálónak
- Letölt és futtat egyéb kártékony programokat
- Eltávolítja magát a fertőzött számítógépről
Megoldás
Naprakész vírusirtó futtatása.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.symantec.com