2025. október 10., péntek - Gedeon

Szövegszerkesztő segítségével fertőz a Sasfis trójai

2010-02-08 1569
A Sasfis trójai további kártékony programokkal halmozza el a már amúgy is fertőzött számítógépeket. A Sasfis trójai azon kártékony programok közé sorolható, amelyek káros letöltéseket végeznek azzal a céllal, hogy további rosszindulatú kódokat tudjanak feljuttatni a kiszolgáltatott számítógépekre.

Ezzel jelentősen képesek elősegíteni egyéb kártevők terjedését is. A Sasfis érdekessége, hogy a számítógépek megfertőzéséhez egy VBA-szkriptet is használ, amelyet Wordben tud lefuttatni. Ezért amennyiben található Word alkalmazás a kiszemelt rendszeren, akkor betölti a szövegszerkesztőt, és elindítja a VBA-kódot.

Az Isidor Biztonsági Központ szerint a Sasfis a 80-as TCP-porton keresztül csatlakozik távoli szerverekhez, majd azokról tölti le a kártékony fájlokat. A trójai kezdetben egy "1.tmp" nevû fájlként jelenik meg a rendszerek Temp könyvtárában, majd később az svchost.exe nevû folyamat mögül végzi a tevékenységét, így a Feladatkezelőben nem látható.

Amikor a Sasfis trójai elindul, akkor az alábbi mûveleteket hajtja végre:

1. Létrehozza a következő állományt:
%Temp%1.tmp

2. A regisztrációs adatbázisban módosítja az alábbi bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftOffice11.0WordSecurity"AccessVBOM" = "1"

3. Elindítja a Microsoft Word alkalmazását (amennyiben az megtalálható a fertőzött rendszeren), és lefuttat egy VBA scriptet.

4. Betölti egy svchost.exe fájlt, amelyet megfertőz.

5. Létrehozza a következő fájlt:
%System%[véletlenszerû név].[véletlenszerû kiterjesztés]

6. A regisztrációs adatbázishoz hozzáfûzi az alábbi kulcsot:
HKEY_CLASSES_ROOTidid

7. A regisztrációs adatbázisban módosítja a következő értéket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"Shell" = " Explorer.exe rundll32.exe %System%[RANDOMLY NAMED FILE] [5 OR 6 RANDOM CHARACTERS]"

8. Letörli azt a fájlját, amelynek révén eredetileg felkerült a rendszerre.

9. Csatlakozik egy távoli szerverhez a 80-as TCP porton keresztül.

10. Interneten keresztül további fájlokat tölt le, majd futtat.
 
 
 
Hírfigyelő

Kiváncsi, mit írnak a versenytársakról? Elsőként olvasná a szakmájával kapcsolatos információkat? Kulcsemberekre, projektekre, konkurensekre figyelne? Segítünk!

Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.

 

 


 

Tipp

Időrendben

« Október 2025 »
H K Sze Cs P Szo V
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31    

Tartalom galéria

Megnyílt Magyarország első LED-moziterme

Megnyílt Magyarország első LED-moziterme

More details
Hétvégi tippek, kulturális programajánló

Hétvégi tippek, kulturális programajánló

More details
Újra HIFI SHOW Budapesten, 2025. november 15-16.

Újra HIFI SHOW Budapesten, 2025. november 15-16.

More details
Érdemes egyszerre több banknál is elindítani az Otthon Start hitelkérelmet?

Érdemes egyszerre több banknál is elindítani az Otthon Start hitelkérelmet?

More details
Milliárdosnak lenni már nem akkora szó, mint tíz éve

Milliárdosnak lenni már nem akkora szó, mint tíz éve

More details
Pozsony irodapiaca alkalmazkodik a rugalmas munkaterek iránti növekvő kereslethez

Pozsony irodapiaca alkalmazkodik a rugalmas munkaterek iránti növekvő kereslethez

More details
A szlovák kereskedelmi ingatlanpiac óvatos lendülettel lép be 2025 második félévébe

A szlovák kereskedelmi ingatlanpiac óvatos lendülettel lép be 2025 második félévébe

More details
A kisebb városok hajtják a retail parkok terjeszkedését Romániában

A kisebb városok hajtják a retail parkok terjeszkedését Romániában

More details
A Budapest ONE a legmagasabb fenntarthatósági minősítést érte el

A Budapest ONE a legmagasabb fenntarthatósági minősítést érte el

More details
Az Üzleti Hírszerzés portál kiadója az O|G|H - Open Gates Hungary Kft. - O|G|H - a hír szerzője