W32.Faedevour!gen1 trójai

CH azonosító

CH-12050

Angol cím

W32.Faedevour!gen1

Felfedezés dátuma

2015.03.05.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000
Windows 7
Windows 95
Windows 98
Windows Me
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Összefoglaló

A Faedevour trójai a fertőzött számítógépeken egy hátsó kaput nyit és az ott található információkat megpróbálja eltulajdonítani.
A trójai terjedése a megosztott erőforrások és hordozható eszközök segítségével történik.

Leírás

1.Az alábbi fájlokat hozza létre:
    %Temp%wtmps.exe
    %UserProfile%Application DataMicrosoftDefenderlaunch.exe
    %UserProfile%Application DataMicrosoftCachesFilesusd.dll
    %UserProfile%Application DataMicrosoftRepairssha.dll
    %UserProfile%Application DataMicrosoftSharedModulesfil.dll
    %UserProfile%Application DataMicrosoftCommonShareddis.dll
    %UserProfile%Application DataMicrosoftWindowsAddinsatt.dll
    %UserProfile%Application DataMicrosoftIdentities[USER NAME]arc.dll
2.Az alábbi rendszerleírő bejegyzést futatja a Windows minden egyes indításakkor:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
“Windows Defender Extension” = “%UserProfile%Application DataMicrosoftDefenderlaunch.exe”
3.Ezt követően ellopja a fertőzött számítógépről az alábbi információkat:
    Computer name
    User name
    Operating system language
    MAC address
    IP address
4.Majd megpróbál csatlakozni:
    a.gwas.perl.sh
    a-gwas-01.slyip.net
    a-gwas-01.dyndns.org
5.A trójai a következő műveleteket tudja elvégezni:
    List running processes
    Take screenshots
    Download files
    Send files to the attacker
    List the directory
    Collect information
    Run the command prompt

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.