2025. július 26., szombat - Anna, Anikó

Szövegszerkesztő segítségével fertőz a Sasfis trójai

2010-02-08 1492
A Sasfis trójai további kártékony programokkal halmozza el a már amúgy is fertőzött számítógépeket. A Sasfis trójai azon kártékony programok közé sorolható, amelyek káros letöltéseket végeznek azzal a céllal, hogy további rosszindulatú kódokat tudjanak feljuttatni a kiszolgáltatott számítógépekre.

Ezzel jelentősen képesek elősegíteni egyéb kártevők terjedését is. A Sasfis érdekessége, hogy a számítógépek megfertőzéséhez egy VBA-szkriptet is használ, amelyet Wordben tud lefuttatni. Ezért amennyiben található Word alkalmazás a kiszemelt rendszeren, akkor betölti a szövegszerkesztőt, és elindítja a VBA-kódot.

Az Isidor Biztonsági Központ szerint a Sasfis a 80-as TCP-porton keresztül csatlakozik távoli szerverekhez, majd azokról tölti le a kártékony fájlokat. A trójai kezdetben egy "1.tmp" nevû fájlként jelenik meg a rendszerek Temp könyvtárában, majd később az svchost.exe nevû folyamat mögül végzi a tevékenységét, így a Feladatkezelőben nem látható.

Amikor a Sasfis trójai elindul, akkor az alábbi mûveleteket hajtja végre:

1. Létrehozza a következő állományt:
%Temp%1.tmp

2. A regisztrációs adatbázisban módosítja az alábbi bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftOffice11.0WordSecurity"AccessVBOM" = "1"

3. Elindítja a Microsoft Word alkalmazását (amennyiben az megtalálható a fertőzött rendszeren), és lefuttat egy VBA scriptet.

4. Betölti egy svchost.exe fájlt, amelyet megfertőz.

5. Létrehozza a következő fájlt:
%System%[véletlenszerû név].[véletlenszerû kiterjesztés]

6. A regisztrációs adatbázishoz hozzáfûzi az alábbi kulcsot:
HKEY_CLASSES_ROOTidid

7. A regisztrációs adatbázisban módosítja a következő értéket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"Shell" = " Explorer.exe rundll32.exe %System%[RANDOMLY NAMED FILE] [5 OR 6 RANDOM CHARACTERS]"

8. Letörli azt a fájlját, amelynek révén eredetileg felkerült a rendszerre.

9. Csatlakozik egy távoli szerverhez a 80-as TCP porton keresztül.

10. Interneten keresztül további fájlokat tölt le, majd futtat.
 
 
 
Hírfigyelő

Kiváncsi, mit írnak a versenytársakról? Elsőként olvasná a szakmájával kapcsolatos információkat? Kulcsemberekre, projektekre, konkurensekre figyelne? Segítünk!

Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.

Események

Error: No articles to display


 

 


 

Tartalom galéria

Mit tehet egy cég, ha a felsővezetői botrányba keverednek?

Mit tehet egy cég, ha a felsővezetői botrányba keverednek?

More details
Bővült a raktárkínálat, növekedett az üresedési ráta is

Bővült a raktárkínálat, növekedett az üresedési ráta is

More details
Románia kiskereskedelmi piaca megerősítette stratégiai központi szerepét

Románia kiskereskedelmi piaca megerősítette stratégiai központi szerepét

More details
Amit a 3%-os hitelről tudni kell, de nem beszélnek róla

Amit a 3%-os hitelről tudni kell, de nem beszélnek róla

More details
Hétvégi tippek, kulturális programajánló

Hétvégi tippek, kulturális programajánló

More details
A nyári szabadságolások után nő a felmondásosok száma

A nyári szabadságolások után nő a felmondásosok száma

More details
Lehetőség a múltban

Lehetőség a múltban

More details
Újabb lakóparkkal bővült a LIVING kínálata

Újabb lakóparkkal bővült a LIVING kínálata

More details
Stratégiai bővítés Nyíregyházán

Stratégiai bővítés Nyíregyházán

More details
Az Üzleti Hírszerzés portál kiadója az O|G|H - Open Gates Hungary Kft. - O|G|H - a hír szerzője