Werdlod.A trójai

CH azonosító

CH-12235

Angol cím

Werdlod.A trojan

Felfedezés dátuma

2015.05.13.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft

Összefoglaló

A Werdlod.D trójai egyéb kártékony programok vagy ártalmas weboldalak által kerülhet fel a számítógépekre. A káros kód elsősorban a Firefox böngésző beállításait módosítja, és különféle proxy bejegyzések létrehozásával vagy módosításával próbálja manipulálhatóvá tenni a webes adatforgalmat. Ezt követően letölti a PowerShell-t, és ha szükséges fel is telepíti azt. A Werdlod ellenőrzi azt is, hogy virtuális gépen fut-e, majd esetenként bezárja a webböngészőket, továbbá a fertőzött számítógépre hamis tanúsítványokat is telepít.

Leírás

1. Létrehozza a következő állományokat:
%All Users Profile%cert[…].der
%User Temp%[véletlenszerű karakterek].txt 

2. Manipulálja az alábbi állományt (proxy beállításokat változtat meg):
[a Firefox elérési útvonala]prefs.js

3. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsAutoConfigURL = “[…]”

4. Csatlakozik egy weboldalhoz, amelyről letölt egy exe kiterjesztésű állományt az alábbiak szerint:
%All Users Profile%Microsoft-KB[véletlenszerű karakterek].exe

5. Letölti a PowerShell-t, és telepíti azt, ha még nincs a rendszeren.

6. Ellenőrzi a következő folyamatok jelenlétét:
VBoxService
VBoxTray
Proxifier
prl_cc
prl_tools
vmusrvc
vmsrvc
vmtoolsd

7. Leállítja az alábbi folyamatokat:
chrome.exe
firefox.exe
iexplore.exe

8. Hamis tanúsítványokat telepít.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
Ne látogasson nem megbízható weboldalakat.