A Caphaw.A trójai egyik legfontosabb terjedési csatornájának a Facebook számít. A kártékony program egyes profilok alatt jelenhet meg. A terjesztői egy online videónak próbálják álcázni, és az üzeneteikben egy hivatkozást is közzétesznek. Amennyiben a felhasználó erre rákattint, akkor egy olyan weboldal töltődik le a böngészőjébe, amelyről a kártékony program rákerülhet a számítógépre.
Az Isidor Biztonsági Központ jelentéséből kiderül, hogy a Caphaw.A elsősorban egy hátsó kapu létesítésére törekszik, és ezzel próbálja kiszolgáltatottá tenni az általa megfertőzött számítógépeket. A hátsó kapun keresztül a támadók a következő tevékenységek elvégzését kezdeményezhetik:
- fájlműveletek végrehajtása
- elosztott szolgáltatásmegtagadási támadásokban való részvétel
- a trójai frissítése
- a számítógép újraindítása vagy kikapcsolása
- a hálózati forgalom átirányítása
- FTP-szerverek elérése.
Amikor a Caphaw.A trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő könyvtárak valamelyikét:
%AppData%/adobe/linguistics/dictionaries/adobe custom dictionary/all/
%AppData%/adobe/linguistics/dictionaries/adobe custom dictionary/eng/
%AppData%/microsoft/cryptneturlcache/metadata/
%AppData%/microsoft/drm/
%AppData%/microsoft/excel/xlstart/
%AppData%/microsoft/internet explorer/
%AppData%/microsoft/office/
%AppData%/microsoft/word/
A mappába bemásol egy állományt az alábbi fájlnevek egyikének felhasználásával:
csrss.exe
eventvwr.exe
expand.exe
ie4uinit.exe
mem.exe
mobsync.exe
qappsrv.exe
route.exe
rundll32.exe
winmine.exe
2. Különböző mutexeket hoz létre annak érdekében, hogy egyszerre csak egy példányban fusson az érintett rendszeren.
3. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKCU/Software/Microsoft/Windows/CurrentVersion/Run/[véletlenszerű karakterek]=[a trójai elérési útvonala]
4. Lefuttatja a következő parancsot:
%System%/cmd.exe /c [telepítési könyvtár]/7.TMP.BAT
5. Megpróbálja megfertőzni az alábbi folyamatokat:
firefox.exe
iexplore.exe
explorer.exe
reader_sl.exe
6. Csatlakozik egy távoli szerverhez a 443-as TCP porton keresztül.
7. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.
7 hozzászólás
Nem kommentálni szeretném a dolgot, bár elítélem, pusztán érdeklődöm a megelőzés módjáról. Talán ha nem kapcsolom be a gépet?
\"A terjesztői egy online videónak próbálják álcázni, és az üzeneteikben egy hivatkozást is közzétesznek. Amennyiben a felhasználó erre rákattint, akkor egy olyan weboldal töltődik le a böngészőjébe, amelyről a kártékony program rákerülhet a számítógépre.\" Elég, ha nem kattintasz rá.
Azt én értem, de ilyenekhez azt is oda kéne írni, hogy az adott cikk írásakor melyik antivírus képes ellene védelmet nyújtani.
Légy te magad saját magad antivírusa! Ahogy már fentebb írták ne klikkelj rá, ésszel böngésszünk és nem lesz baj:)
De az a létező legtermészetesebb, hogy videót tesznek közzé ismerőseim, és szöveget is írnak mellé...(akár hivatkozást is) !!!
Igen, egy nagyon fura vírus telepedett az én gépemre is - trójai néven, talán kerek 1 hete. Informatikus ismerősöm segítségével sikerült csak leszedni, mert felrakta magát a gépre, és átrendezte az asztalt, a mappáim eltűntek, stb., de megtalált mindent szerencsére, csak elég kacifántosan, elrejtett mappába tette őket. Pedig volt vírusölő programom.
Linux...