A Whalfrost trójai elleni védekezés nagyon fontos összetevőjét jelenti - a naprakészen tartott víruskeresők használata mellett - a biztonsági frissítések telepítése. Ennek oka, hogy a kártékony program előszeretettel használja ki az Adobe Reader és Acrobat alkalmazásokban korábban feltárt sérülékenységeket. Az Adobe fejlesztői ezen biztonsági rések mindegyikét befoltozták, ezért a PDF-kezelő szoftverek frissítésével a trójai ténykedése is megakadályozhatóvá válhat.
Az Isidor Biztonsági Központ jelentése szerint a Whalfrost egy távoli szerverhez csatlakozik, és onnan különféle parancsokat fogad. A támadók kérésére a következő műveleteket képes kezdeményezni:
- parancssori ablak elérhetővé tétele
- fájlok le- és feltöltése
- fájlrendszer átvizsgálása
- fájlműveleteket, fájltörlés
- folyamatok listázása, indítása és leállítása.
A Whalfrost fontos jellemzője, hogy a fertőzött számítógépeken képes bizalmas adatok összegyűjtésére valamint azok kiszivárogtatására.
Amikor a Whalfrost trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%UserProfile%/Application Data/msupdater.exe
%UserProfile%/Application Data/FAVORITES.DAT
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/"Shell" = "Explorer.exe "%UserProfile%/Application Data/msupdater.exe""
Ezzel eléri, hogy a Windows minden egyes újraindításakor automatikusan be tudjon töltődni.
3. Interneten keresztül előre meghatározott távoli szerverekhez csatlakozik.
4. A kiszolgálókról különféle információkat tölt le, amelyek a további működését befolyásolhatják.
5. Nyit egy hátsó kaput, és távoli szerverekről fogadott parancsokat hajt végre.
6. Bizalmas adatokat gyűjt össze, amelyeket kiszivárogtat.
7. Megpróbálja kihasználni az Adobe különféle szoftvereiben lévő sebezhetőségeket.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.