Trojan:Win32/Wysotot.A Trójai vírus

CH azonosító

CH-9976

Angol cím

Trojan:Win32/Wysotot.A

Felfedezés dátuma

2013.10.31.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows operációs rendszerek

Összefoglaló

A Win32/Sysotot.A trójai kártevő szoftver csomagokkal települ a számítógépre, amik ingyenes játékokat vagy szoftvereket reklámoznak.

Leírás

Település: A Win32/Sysotot.A trójai kártevő szoftver csomagokkal települ a számítógépre, amik ingyenes játékokat vagy szoftvereket reklámoznak.

Az egyik telepítő a Win32/Startpage.VT trójait a következőképpen terjesztette:

Amint feltelepedett a trójai, szolgáltatásként hozzáadja magát a Windowshoz Wsys Service vagy Dprotect Service néven.

Néha egy uninstalláló bejegyzés is bekerül Wsys Control <verzió szám> névvel. Az uninstall szoftvert lefuttatva vélhetően letörlni a Win32/Sysotot.A-t a számítógépről.

Payload:

Módosult böngésző beállítások:

A Win32/Wysotot.A monitorozza a PC-t, amikor a következő parancsikonokra kattintunk:

  • Internet Explorer
  • Firefox
  • Chrome
  • Opera

Amikor a fent említett böngészők valamelyikét megnyitja, a trójai átirányít az alábbi weboldalak egyikére a böngésző beállított alapértelmezett kezdőlapja helyett:

  • v9.com
  • 22find.com
  • 22apple.com
  • qvo6.com
  • portaldosites.com
  • delta-homes.com

A Win32/Wysotot.A módosítja a böngésző parancsikon fájljait, hogy a fent említett weblapokra irányítsa azt. Például:

C:Program FilesInternet Exploreriexplore.exe

Módosított:

“C:Program FilesInternet Exploreriexplore.exe” hxxp://en.v9.com/?utm_source=b&utm_medium=eBP&utm_campaign=eBP&utm_content=sc&from=eBP&uid=<some text>&ts=<some timestamp>

A trójai módosítja a következő regisztrációs adatbázis kulcsokat is, hogy a start menü internet explorer bejegyzéseit is megváltoztassa:

Az alkulcsban: HKLMSOFTWAREClientsStartMenuInternetIEXPLORE.EXEshellopen

beállítja az értéket :”command”

a következő adatra: “C:Program FilesInternet Exploreriexplore.exe” http://en.v9.com/?utm_source=b&utm_medium=eBP&utm_campaign=eBP&utm_content=sc&from=eBP&uid=<some text>&ts=<some timestamp> “

További információk:

A Win32/Wysotot.A elküldi a számítógépen levő antimalver szoftver állapotát egy C&C szerverre.

Képes letölteni, futtatni, és megszakítani folyamatokat. A parancsok:

  • indít
  • futtat
  • megállít
  • uninstaláll
  • folyamatot befejez
  • újraindít

Az elemzést Geoff McDonald készítette.

Tünetek:

A következők jelezhetik, ha a számítógépen jelen van ez a trójai szoftver:

  • A web böngésző váratlan weboldalakra irányít át a megnyitásakor.
  • Ezeket a bejegyzéseket találhatjuk meg a registry adatbázisban:

Az alkulcsban: HKLMSOFTWAREClientsStartMenuInternetIEXPLORE.EXEshellopen

beállított érték :”command”

a következő adattal: “C:Program FilesInternet Exploreriexplore.exe” http://en.v9.com/?utm_source=b&utm_medium=eBP&utm_campaign=eBP&utm_content=sc&from=eBP&uid=<some text>&ts=<some timestamp> “

Megoldás

Vírusírtók, antimalver szoftverek