Hamis Facebook e-mailekben terjed a Sinowal trójai

1
Kristóf Csaba
2010. február 5., 08:36
Nyomtatás
A Sinowal.WUR trójai látszólag a Facebook üzemetetői által küldött e-mailekben terjed, a valóságban azonban semmi köze sincs a közösségépítőhöz.

A Sinowal.WUR trójai látszólag a Facebooktól érkező elektronikus levelek révén próbálja megtéveszteni a felhasználókat, és rávenni őket, hogy kattintsanak az e-mailekben szereplő hivatkozásokra. A levél teljesen alaptalan üzenete szerint a Facebookon megváltozott a beléptetési rendszer, és ahhoz, hogy a felhasználó fiókja frissüljön, el kell látogatnia egy weboldalra. Amennyiben erre sor kerül, akkor egy véletlenszerű fájlnévvel és ZIP kiterjesztéssel ellátott fájl kerül rá a rendszerre. Ha ezt a felhasználó megnyitja, akkor a trójai azonnal elkezdi a számítógép megfertőzését.

Az Isidor Biztonsági Központ szerint a Windows könyvtárába beköltöző Sinowal.WUR legfontosabb célja, hogy rendszerinformációkat gyűjtsön össze a fertőzött PC-kről, és azokat feltöltse különböző, előre meghatározott, távoli szerverekre. A trójai elsősorban a telepített programok iránt mutat fokozott érdeklődést, és azokat igyekszik feltérképezni.

Amikor a Sinowal.WUR trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%Windows%\%System%\SDRA64.EXE
%Windows%\SDSKWA.DLL
C:\Documents and Settings\[felhasználónév]\Local Settings\Temp\BF9C_APPCOMPAT.TXT

2. A Windows könyvtárába létrehoz egy "lowsec" nevű mappát.

3. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
%path where the Trojan has been run% = 0bxoascoyzzau
HKEY_USERS\DEFAULT\Software\Microsoft\Protected Storage System Provider
HKEY_USERS\DEFAULT\Software\Microsoft\Protected Storage System Provider\S-1-5-18
HKEY_USERS\ S-1-5-18\Software\Microsoft\Protected Storage System Provider
HKEY_USERS\ S-1-5-18\Software\Microsoft\Protected Storage System Provider\S-1-5-18
HKEY_USERS\ S-1-5-19\Software\Microsoft\Protected Storage System Provider
HKEY_USERS\ S-1-5-19\Software\Microsoft\Protected Storage System Provider\S-1-5-19

4. A regisztrációs adatbázisban módosítja a következő értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon\Userinit = %sysdir%\userinit.exe,%sysdir%\sdra64.exe,

5. Rendszerinformációkat gyűjt össze.

6. Az összegyűjtött adatokat feltölti egy előre meghatározott, távoli szerverre.

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

0 hozzászólás

Ehhez a cikkhez még nem érkezett hozzászólás.
ESET Online Vírusirtó
Céginfó hírek (x)

Kiadó
Partnereink
IDG Worldwide

© 1999-2012 IDG Hungary Médiaszolgáltató Kft. Minden jog fenntartva.