2025. október 31., péntek - Farkas

Szövegszerkesztő segítségével fertőz a Sasfis trójai

2010-02-08 1581
A Sasfis trójai további kártékony programokkal halmozza el a már amúgy is fertőzött számítógépeket. A Sasfis trójai azon kártékony programok közé sorolható, amelyek káros letöltéseket végeznek azzal a céllal, hogy további rosszindulatú kódokat tudjanak feljuttatni a kiszolgáltatott számítógépekre.

Ezzel jelentősen képesek elősegíteni egyéb kártevők terjedését is. A Sasfis érdekessége, hogy a számítógépek megfertőzéséhez egy VBA-szkriptet is használ, amelyet Wordben tud lefuttatni. Ezért amennyiben található Word alkalmazás a kiszemelt rendszeren, akkor betölti a szövegszerkesztőt, és elindítja a VBA-kódot.

Az Isidor Biztonsági Központ szerint a Sasfis a 80-as TCP-porton keresztül csatlakozik távoli szerverekhez, majd azokról tölti le a kártékony fájlokat. A trójai kezdetben egy "1.tmp" nevû fájlként jelenik meg a rendszerek Temp könyvtárában, majd később az svchost.exe nevû folyamat mögül végzi a tevékenységét, így a Feladatkezelőben nem látható.

Amikor a Sasfis trójai elindul, akkor az alábbi mûveleteket hajtja végre:

1. Létrehozza a következő állományt:
%Temp%1.tmp

2. A regisztrációs adatbázisban módosítja az alábbi bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftOffice11.0WordSecurity"AccessVBOM" = "1"

3. Elindítja a Microsoft Word alkalmazását (amennyiben az megtalálható a fertőzött rendszeren), és lefuttat egy VBA scriptet.

4. Betölti egy svchost.exe fájlt, amelyet megfertőz.

5. Létrehozza a következő fájlt:
%System%[véletlenszerû név].[véletlenszerû kiterjesztés]

6. A regisztrációs adatbázishoz hozzáfûzi az alábbi kulcsot:
HKEY_CLASSES_ROOTidid

7. A regisztrációs adatbázisban módosítja a következő értéket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"Shell" = " Explorer.exe rundll32.exe %System%[RANDOMLY NAMED FILE] [5 OR 6 RANDOM CHARACTERS]"

8. Letörli azt a fájlját, amelynek révén eredetileg felkerült a rendszerre.

9. Csatlakozik egy távoli szerverhez a 80-as TCP porton keresztül.

10. Interneten keresztül további fájlokat tölt le, majd futtat.
 
 
 
Hírfigyelő

Kiváncsi, mit írnak a versenytársakról? Elsőként olvasná a szakmájával kapcsolatos információkat? Kulcsemberekre, projektekre, konkurensekre figyelne? Segítünk!

Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.

 

 


 

Tipp

Időrendben

« Október 2025 »
H K Sze Cs P Szo V
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31    

Tartalom galéria

A Duna House belépett a dubaji ingatlanpiacra

A Duna House belépett a dubaji ingatlanpiacra

More details
Románia vezeti Európát az építőiparban – a szektor már a GDP közel 8%-át adja

Románia vezeti Európát az építőiparban – a szektor már a GDP közel 8%-át adja

More details
Új szegmensek formálása a közép-kelet-európai ingatlanpiacon

Új szegmensek formálása a közép-kelet-európai ingatlanpiacon

More details
Hétvégi tippek, kulturális programajánló

Hétvégi tippek, kulturális programajánló

More details
Anyukától nyugdíjasig: sokaknak lehet rémálom a netezés

Anyukától nyugdíjasig: sokaknak lehet rémálom a netezés

More details
A zsúfolt plázákban a higiénia is közös felelősség

A zsúfolt plázákban a higiénia is közös felelősség

More details
Nem csak a férfiak küzdenek kopaszodással!

Nem csak a férfiak küzdenek kopaszodással!

More details
AI-chatbotok a banki ügyfélszolgálatban

AI-chatbotok a banki ügyfélszolgálatban

More details
Dübörög a retail szektor a szomszédban

Dübörög a retail szektor a szomszédban

More details
Az Üzleti Hírszerzés portál kiadója az O|G|H - Open Gates Hungary Kft. - O|G|H - a hír szerzője