Voldat trójai

CH azonosító

CH-12811

Angol cím

Backdoor.Voldat

Felfedezés dátuma

2015.11.18.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP, Windows 8, Windows 10

Összefoglaló

A Voldat trójai a Microsoft Management Console (MMC) összetevőjének adja ki magát, és ennek megfelelően egy MMC.exe nevű fájl formájában kerül fel a rendszerekre. Azonban nem a Windows rendszermappájába kerül be, hanem a Roaming könyvtárba, ami arról árulkodik, hogy nem az operációs rendszer eredeti állományáról van szó. A károkozó célja, hogy egy hátsókaput nyisson a számítógépeken, és elvégezze a számára kiadott feladatokat.


A Voldat egyebek mellett a következő tevékenységek végrehajtására alkalmas:

  • fájlműveletek
  • állományok letöltése
  • a számítógép újraindítása
  • a számítógép leállítása.

Leírás

1. Létrehozza a következő állományt:
%AppData%RoamingMicrosoftMMCMMC.exe

2. A regisztrációs adatbázist kiegészíti az alábbi értékkel:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”MMC” = “%AppData%RoamingMicrosoftMMCMMC.exe /s”

3. Csatlakozik egy távoli kiszolgálóhoz.

4. Nyit egy hátsó kaput.

5. Végrehajtja a támadók által kiadott parancsokat.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE)