Összefoglaló
A Werdlod.D trójai egyéb kártékony programok vagy ártalmas weboldalak által kerülhet fel a számítógépekre. A káros kód elsősorban a Firefox böngésző beállításait módosítja, és különféle proxy bejegyzések létrehozásával vagy módosításával próbálja manipulálhatóvá tenni a webes adatforgalmat. Ezt követően letölti a PowerShell-t, és ha szükséges fel is telepíti azt. A Werdlod ellenőrzi azt is, hogy virtuális gépen fut-e, majd esetenként bezárja a webböngészőket, továbbá a fertőzött számítógépre hamis tanúsítványokat is telepít.
Leírás
1. Létrehozza a következő állományokat:
%All Users Profile%cert[…].der
%User Temp%[véletlenszerű karakterek].txt
2. Manipulálja az alábbi állományt (proxy beállításokat változtat meg):
[a Firefox elérési útvonala]prefs.js
3. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsAutoConfigURL = “[…]”
4. Csatlakozik egy weboldalhoz, amelyről letölt egy exe kiterjesztésű állományt az alábbiak szerint:
%All Users Profile%Microsoft-KB[véletlenszerű karakterek].exe
5. Letölti a PowerShell-t, és telepíti azt, ha még nincs a rendszeren.
6. Ellenőrzi a következő folyamatok jelenlétét:
VBoxService
VBoxTray
Proxifier
prl_cc
prl_tools
vmusrvc
vmsrvc
vmtoolsd
7. Leállítja az alábbi folyamatokat:
chrome.exe
firefox.exe
iexplore.exe
8. Hamis tanúsítványokat telepít.
Megoldás
Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
Ne látogasson nem megbízható weboldalakat.
Támadás típusa
TrójaiHatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu