Nem magányoskodik a Collet trójai

Kristóf Csaba, 2008. augusztus 1. - Vírusvédelem

Computerworld címkék: trójai, féreg, vírusadatbázis

Hír küldése

Ajánlom ismerősömnek Nyomtatás Startlaphoz adom

A Collet trójai különböző kártékony fájlokkal árasztja el a számítógépeket, és bizalmas információkat szolgáltat ki azokról.

A Collet trójai 30-45 perccel azután, hogy rákerült egy számítógépre, csatlakozik egy szerverhez, majd számos kártékony fájlt tölt le. Ezek között különböző vírusok is megtalálhatók. A trójai egy windowsos szolgáltatást hoz létre, amellyel biztosítja, hogy az operációs rendszer minden egyes újraindulását követően automatikusan be tudjon töltődni.

A Collet elsősorban olyan elektronikus levelekben terjed, amelyek hírességekről (például Angelina Jolieról) készült fényképekkel kecsegtetnek. Amennyiben a felhasználó az emailekben szereplő hivatkozásokra kattint, akkor a számítógépe könnyedén megfertőződhet.

A trójai a fertőzött PC-kről különböző rendszerinformációkat tölt fel egy távoli szerverre, majd hátsó kaput nyit a számítógépeken, és várakozik a támadók parancsaira.

Amikor a Collet trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlt:
%System%\CbEvtSvc.exe

1. Létrehoz egy CbEvtSvc nevű szolgáltatást.

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKLM\SYSTEM\CurrentControlSet\Services\CbEvtSvc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Anti-Virus Update Scheduler V1.39.12R = ""
HKLM\SYSTEM\CurrentControlSet\Control\Anti-Virus Update Settings V1.39.12R

3. Interneten keresztül további kártékony állományokat tölt le.

4, Csatlakozik egy távoli szerverhez, amelyre különböző rendszerinformációkat juttat le, valamint letölt egy fájlt. Ezt az %AppData% könyvtárba menti el véletlenszerű névvel és exe kiterjesztéssel.

5. Biztonsági beállításokat módosít a Windowsban, amelyek révén képes "megkerülni" a Windows beépített tűzfalát.

6. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\ = ":*:Enabled:"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\c:\virus.exe = "c:\virus.exe:*:Enabled:virus.exe"

7. Hátsó kaput nyit a fertőzött rendszeren.

Kapcsolódó linkek

Isidor Biztonsági Központ

Kapcsolódó hírek

Hozzászólások (0 db)

Hozzászólások

Nincsenek még hozzászólások. Legyen Ön az első!

Gyorssegély

Antispyware: Ad-Aware | Spybot-S&D | Spy Sweeper | Spyware Terminator

Tűzfal: Comodo | Outpost | Sunbelt | ZoneAlarm

Mentés: Cobian Backup

0.Nap

Középpontban az információs infrastruktúra

BalaBit IT Security Blog

Karrier

Computerworld hírek

Szponzorált linkek:

LG Klíma, Mobil Klíma Akció -WEBÁRUHÁZ- LG, Samsung, Hitachi klíma országos házhozszállítással. Tegye próbára árainkat. Inverteres klíma akció. LG Art Cool Árleszállítás!!!

Tetőablak akció a Velux-Shop-ban! Velux tetőtéri ablakok, tetőtéri ablak kiegészítők (redőny, reluxa, stb) és egyéb VELUX termékek széles választékban, országos házhozszállítással!

*LOGalyze, SOPHOS, Juniper és Websense a ZURIEL-től!* Naplóinfrastruktúra, logelemzés, hálózati határvédelem, és minden ami IT üzemeltetés egy igazi specialistától. ZURIEL - A szürke eminenciás

CégMátrix szolgáltatás- és termékkereső portál Itt megtalálja a keresett terméket, szolgáltatást, márkát, céget - cégadatokkal: név, cím, telefon, fax, web, nyitva tartás. WAP-on is! Erdélyben:Erdélyi Céginfó

Terjessze és lapozza céges anyagait online Alakítsa át nyomtatott termékkatalógusát, prospektusát, prezentációját... Eredetivel azonos megjelenés, szabadszavas keresés,
Google által felismerheto tartalom, aktív linkek, nyomtatás, stb.

kiadó | impresszum | hirdetési ajánlatunk | adatvédelmi elveink

IDG Worldwide: computerwoche.de | computerwelt.at | computerworld.ch | computerworld.ro