Wecoym trójai

CH azonosító

CH-12365

Angol cím

Backdoor.Wecoym

Felfedezés dátuma

2015.06.23.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Wecoym trójai egy meglehetősen funkciógazdag kártékony programnak számít, amely türelmetlenül várja a terjesztői által kiadott parancsokat. Vagyis egy hátsó kaput létesít a számítógépeken, amelyen keresztül adatokat is képes kiszivárogtatni. 

A Wecoym a következő feladatok elvégzésére utasítható:

  • fájlműveletek
  • fájlok letöltése és futtatása
  • billentyűleütések naplózása
  • DNS-manipulációk
  • hálózati adatforgalom átirányítása
  • rendszerbeállítások manipulálása
  • rendszerinformációk összegyűjtése
  • a saját állományainak frissítése vagy eltávolítása.

A Wecoym Windows-os rendszerfolyamatokat fertőz meg, és azok mögül végzi a nemkívánatos tevékenységeit.

Leírás

1. Létrehozza a következő állományokat:
%UserProfile%Application DataRoaming##[véletlenszerű karakterek]##[véletlenszerű karakterek].exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”##[véletlenszerű karakterek].exe” = “%UserProfile%Application DataRoaming##[véletlenszerű karakterek]##[véletlenszerű karakterek].exe”

3. Megfertőzi az alábbi folyamatokat:
winlogon.exe
explorer.exe

4. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.

5. Csatlakozik távoli kiszolgálókhoz a 8586-os TCP porton keresztül.

6. Nyit egy hátsó kaput, és várakozik a támadók parancsaira, amelyeket rögtön végrehajt.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.