Billentyűleütéseket figyel az Anserin trójai
Kristóf Csaba,
2005. november 30. -
Vírusvédelem
Hír küldése
Az Anserin trójai az online banki szolgáltatásokhoz szükséges adatokat igyekszik megszerezni oly módon, hogy figyeli a felhasználó által megadott bizalmas információkat.
Az Anserin trójai legfőbb célja, hogy olyan adatokat szerezzen meg, amelyek az online banki szolgáltatások használatához feltétlenül szükségesek. Így például felhasználónevek, jelszavak és egyéb azonosítók után kutakodik. A trójaihoz tartozik egy olyan állomány is, amely online banki oldalak címét tartalmazza. Amennyiben a felhasználó ezen oldalak valamelyikét böngészi, akkor a trójai azonnal aktivizálja a billentyűzetfigyelő komponensét, és összegyűjti a bejelentkezésnél megadott adatokat.
Az Anserin trójai további ismert nevei: Win32.Anserin.C [Computer Associates], Troj/Torpig-k [Sophos].
Amikor az Anserin trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehoz egy "MSARCH_MUTEX_NAME" nevű mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszerben.
2. Létrehozza a következő fájlokat:
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm[RANDOM 5 DIGIT NUMBER].dll
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm[RANDOM 5 DIGIT NUMBER].exe
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm[RANDOM 5 DIGIT NUMBER].dll
C:\WINDOWS\kl.exe
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
kulcsához hozzáadja a
"Shell" = "explorer.exe [SPACES] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm[RANDOM 5 DIGIT NUMBER].exe"" értéket.
4. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja a
"Shell" = ""C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm[RANDOM 5 DIGIT NUMBER].exe"" értéket.
5. Felhasznál egy kl.exe állományt, amely rengeteg bank weboldalának címét tartalmazza. Amennyiben a felhasználó ezen oldalakra látogat, akkor azonnal elkezdi naplózni a billentyűzetleütéseket.
Az Anserin trójai további ismert nevei: Win32.Anserin.C [Computer Associates], Troj/Torpig-k [Sophos].
Amikor az Anserin trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehoz egy "MSARCH_MUTEX_NAME" nevű mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszerben.
2. Létrehozza a következő fájlokat:
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm[RANDOM 5 DIGIT NUMBER].dll
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm[RANDOM 5 DIGIT NUMBER].exe
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm[RANDOM 5 DIGIT NUMBER].dll
C:\WINDOWS\kl.exe
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
kulcsához hozzáadja a
"Shell" = "explorer.exe [SPACES] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm[RANDOM 5 DIGIT NUMBER].exe"" értéket.
4. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja a
"Shell" = ""C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm[RANDOM 5 DIGIT NUMBER].exe"" értéket.
5. Felhasznál egy kl.exe állományt, amely rengeteg bank weboldalának címét tartalmazza. Amennyiben a felhasználó ezen oldalakra látogat, akkor azonnal elkezdi naplózni a billentyűzetleütéseket.
Hozzászólások