Összefoglaló
A Zlob trójai Q betűjelű változata elsősorban két céllal terjed. Egyrészt további kártékony programokkal igyekszik elhalmozni az általa ostromlott számítógépeket, másrészt hálózati átirányítások révén segítheti az adathalászok vagy a vírusterjesztők dolgát.
A Zlob egy ütemezett feladatot hoz létre, ami naponta egyszer egy PowerShell scriptet futtat le. A kis kód feladata, hogy további nemkívánatos programokat töltsön le távoli kiszolgálókról, illetve elindítsa, szükség esetén feltelepítse azokat.
A Zlob.Q a különféle átirányításokat a DNS-beállítások manipulálásával éri el. A DNS szerverek címének módosításával lehetőséget ad egyebek mellett az adathalászok számára, hogy ártalmas weboldalakra vezessék a felhasználókat.
Leírás
1. Létrehozza a következő állományokat:
%SystemDrive%Documents and SettingsAdministratorLocal SettingsTemp[véletlenszerű karakterek]
%SystemDrive%Documents and SettingsAll UsersApplication Data{145911ff-70c8-1}BIT1C.tmp
%SystemDrive%Documents and SettingsAll UsersApplication Data{2182672b-20c8-0}BIT1D.tmp
2. Beállít egy ütemezett feladatot, amely egy PowerShell scriptet futtat le naponta egyszer:
%SystemDrive%WINDOWSTasks[véletlenszerű karakterek].job
3. A script segítségével további fájlokat tölt le.
4. A regisztrációs adatbázishoz hozzáfűzi a következő értékeket:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters”NameServer” : “199.203.131.151 82.163.143.181”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces{121002E0-F353-48CD-926F-EDFFABEE08AF}”NameServer” : “199.203.131.151.82.163.143.181”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces{121002E0-F353-48CD-926F-EDFFABEE08AF}”DhcpNameServer” : “199.203.131.151”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters”DhcpNameServer” : “199.203.131.151”
5. Manipulálja a DNS beállításokat.
6. Távoli szerverekhez kapcsolódik, amelyekről fájlokat tölt le.
7. Összegyűjti, majd kiszivárogtatja az operációs rendszer legfontosabb paramétereit.
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket).
- Ne nyisson meg imeretlen feladótól érkező üzeneteteket.
- Használjon naprakész vírusírtó szofvert.
- Az eltávolításban segítséget nyújthat: Microsoft Safety Scanner, Windows Defender, Microsoft Security Essentials
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Trójai
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu