Összefoglaló
A Win32/Sysotot.A trójai kártevő szoftver csomagokkal települ a számítógépre, amik ingyenes játékokat vagy szoftvereket reklámoznak.
Leírás
Település: A Win32/Sysotot.A trójai kártevő szoftver csomagokkal települ a számítógépre, amik ingyenes játékokat vagy szoftvereket reklámoznak.
Az egyik telepítő a Win32/Startpage.VT trójait a következőképpen terjesztette:
Amint feltelepedett a trójai, szolgáltatásként hozzáadja magát a Windowshoz Wsys Service vagy Dprotect Service néven.
Néha egy uninstalláló bejegyzés is bekerül Wsys Control <verzió szám> névvel. Az uninstall szoftvert lefuttatva vélhetően letörlni a Win32/Sysotot.A-t a számítógépről.
Payload:
Módosult böngésző beállítások:
A Win32/Wysotot.A monitorozza a PC-t, amikor a következő parancsikonokra kattintunk:
- Internet Explorer
- Firefox
- Chrome
- Opera
Amikor a fent említett böngészők valamelyikét megnyitja, a trójai átirányít az alábbi weboldalak egyikére a böngésző beállított alapértelmezett kezdőlapja helyett:
- v9.com
- 22find.com
- 22apple.com
- qvo6.com
- portaldosites.com
- delta-homes.com
A Win32/Wysotot.A módosítja a böngésző parancsikon fájljait, hogy a fent említett weblapokra irányítsa azt. Például:
C:Program FilesInternet Exploreriexplore.exe
Módosított:
“C:Program FilesInternet Exploreriexplore.exe” hxxp://en.v9.com/?utm_source=b&utm_medium=eBP&utm_campaign=eBP&utm_content=sc&from=eBP&uid=<some text>&ts=<some timestamp>
A trójai módosítja a következő regisztrációs adatbázis kulcsokat is, hogy a start menü internet explorer bejegyzéseit is megváltoztassa:
Az alkulcsban: HKLMSOFTWAREClientsStartMenuInternetIEXPLORE.EXEshellopen
beállítja az értéket :”command”
a következő adatra: “C:Program FilesInternet Exploreriexplore.exe” http://en.v9.com/?utm_source=b&utm_medium=eBP&utm_campaign=eBP&utm_content=sc&from=eBP&uid=<some text>&ts=<some timestamp> “
További információk:
A Win32/Wysotot.A elküldi a számítógépen levő antimalver szoftver állapotát egy C&C szerverre.
Képes letölteni, futtatni, és megszakítani folyamatokat. A parancsok:
- indít
- futtat
- megállít
- uninstaláll
- folyamatot befejez
- újraindít
Az elemzést Geoff McDonald készítette.
Tünetek:
A következők jelezhetik, ha a számítógépen jelen van ez a trójai szoftver:
- A web böngésző váratlan weboldalakra irányít át a megnyitásakor.
- Ezeket a bejegyzéseket találhatjuk meg a registry adatbázisban:
Az alkulcsban: HKLMSOFTWAREClientsStartMenuInternetIEXPLORE.EXEshellopen
beállított érték :”command”
a következő adattal: “C:Program FilesInternet Exploreriexplore.exe” http://en.v9.com/?utm_source=b&utm_medium=eBP&utm_campaign=eBP&utm_content=sc&from=eBP&uid=<some text>&ts=<some timestamp> “
Megoldás
Vírusírtók, antimalver szoftverek
Támadás típusa
Unspecified (Nem részletezett)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Physical/Console (Fizikai/konzol)
Remote/Network (Távoli/hálózat)
Hivatkozások
Gyártói referencia: www.securityhome.eu
