W32.Fixflo.B Trójai

CH azonosító

CH-10359

Angol cím

W32.Fixflo.B Trojan

Felfedezés dátuma

2014.01.05.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows

Összefoglaló

A W32.Fixflo.B olyan trójai, amely megfertőzi futtatható és dll fájlokat a számítógépen, valamint lehetővé teszi állományok letöltését és végrehajását a feltört számítógépen.

Leírás

Technikai részletek:

Bemásolja magát a következő helyre:
%CommonProgramFiles%Systemsymsrv.dll

Bemásolja a következő állományt a Windows Temp mappába:
%Temp%mccvn.sys

A regisztrációs adatbáziban a következő bejegyzéseket hozza létre, amelyek a Windows indulásakor minden esetben végrehajtódnak:

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows”LoadAppInit_DLLs” = “1”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows”RequireSignedAppInit_DLLs” = “0”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows”AppInit_DLLs” = “%CommonProgramFiles%Systemsymsrv.dll”


A regisztrációs adatbázisban létrehozza a következő bejegyzést:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”SFCDisable” = “FFFFFF9D” 


A regisztrációs adatbázisban módosítja a következő értékeket, hogy elrejtse jelenlétét

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced”ShowSuperHidden” = “0”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHidden”Type” = “radio”


Létrehoz egy KILLPRC nevű, Windows-os szolgáltatást

  • Startup Type: Manual
  • Image Path: %Temp%mccvn.sys
  • Display Name: KILLPRC


API-kal eseményeket figyel:

  • CreateFileW
  • ExitProcess
  • RegOpenKeyExA
  • RegOpenKeyExW
  • CreateProcessInternalW
  • CredReadW
  • MessageBoxTimeoutW


Megpróbál csatlakozni sorban az alábbi távoli szerverekhez további káros szoftverek letöltése végett

  • [http://]174.139.10.194/setu[REMOVED]
  • [http://]5isohu.com/setu[REMOVED]
  • [http://]www.aieov.com/setu[REMOVED]


Megfertőzi a futtatható és a DLL-kiterjesztésű állományokat és ellopja a hitelesítő adatokat a feltört számítógépen


Letöltet, majd futtat különféle programokat.

Megoldás

Használjon tűzfalat és vírusírtót, amelyet folyamtosan frissítse, növelje a jelszó-házirend erősségét, tiltsa le az automatikus lejátszást. Fájlmegostás esetén használjon ACL-eket és jelszavakat. Kapcsolja ki, majd távolítsa el a felesleges szolgáltatásokat.