Trojan.Sathurbot

CH azonosító

CH-10763

Angol cím

Sathurbot

Felfedezés dátuma

2014.03.19.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A Sathurbot trójai az ismert alkalmazások mellett terjed a fájlcserélő hálózatokon. Egy DLL-fájl formájában kap helyet kulcsgeneráló (keygen) szoftverek mellett. A trójai számos fájlt másol fel a rendszerbe a Windows különféle könyvtáraiba, amikor a felhasználó elindítja a fertőzött programot.

A károkozó megfertőzi a Windows rendszerfolyamatait, és a nemkívánatos tevékenységet a megfertőzött rendszerfolyamatok mögött végzi. Nyit egy hátsó kaput és a támadók kiadott utasításait végrehajtja. A kiadott utasítások többek között a Windows beállításainak manipulálása, fájlok futtatása, valamint adatlopásra vonatkozhatnak.

A Sathurbot trójai jellemzője, hogy az egyes védelmi alkalmazásokat a Windows beépített tűzfalát megpróbálja hatástalanítani a zavartalan kommunikáció érdekében.

Leírás

1. A következő állományokat hozza létre:
%App Data%MicrosoftBingDesktopBingCoreBingDesktopOverlays.dll
%App Data%MicrosoftCryptoRSA64CryptoProvider.dll
%App Data%MicrosoftMedia ToolsMediaIconsOverlays.dll
%App Data%Windows CodecsMediaShellOverlays.dll
%ProgramFiles%[véletlenszerű karakterek]SecurityManagerSecurityManager.dll

2.Az allábi fájlokat másolja a rendszerbe:
“%SystemDrive%rundll32.exe” “[…]”,DllInstall

3. A következő bejegyzéseket manipulálja a regisztrációs adatbázisban:
HKEY_CLASSES_ROOTCLSID{1EC23CFF-4C58-458f-924C-8519AEF61B32}InprocServer32=”[a trójai elérési útvonala]”
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{1EC23CFF-4C58-458f-924C-8519AEF61B32}InprocServer32″=”[a trójai elérési útvonala]”
HKEY_CLASSES_ROOTCLSID{B82655E9-B81D-4A97-8154-0D84A4C048E4}InprocServer32=”[a trójai elérési útvonala]”
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{B82655E9-B81D-4A97-8154-0D84A4C048E4}InprocServer32=””[a trójai elérési útvonala]””
HKEY_CLASSES_ROOTCLSID{24808826-C2BF-4269-B3BA-89D1D5F431A4}InprocServer32=”[a trójai elérési útvonala]”
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{24808826-C2BF-4269-B3BA-89D1D5F431A4}InprocServer32=”[a trójai elérési útvonala]”

4. A következő folyamatokat fertőzi meg:
explorer.exe
explorer64.exe
regsvr32.exe
regsvr64.exe
rundll32.exe

5. Egy távoli kiszolgálóhoz csatlakozik és egy hátsó kaput nyit.

6. A terjesztői által kiadott parancsokat fogadja.

7. A Windows tűzfalának kivétellistájához hozzáadja a saját állományát.

8. Biztonsági alkalmazásokat megpróbálja hatástalanítani.

9. Kártékony programokat tölt le.

Megoldás

Naprakész vírusírtó.