A Helompy féreg népszerű webes szolgáltatásokhoz tartozó bizalmas adatokat próbál zsákmányolni. Ennek megfelelően a féreg alkalmas többek között a Facebook valamint a Gmail bejelentkezésekhez használható felhasználónevek és jelszavak összegyűjtésére. Mindezt többek között a billentyűleütések folyamatos monitorozásával végzi. A naplózó modulja akkor aktivizálódik, amikor a megnyíló ablak címsorában számára érdekes szolgáltatás neve jelenik meg.
Az Isidor Biztonsági Központ jelentése kitér arra, hogy a Helompy többnyire cserélhető meghajtókon, elsősorban pendrive-okon keresztül terjed. Arról is gondoskodik, hogy a fertőzött adattárolók újbóli csatlakoztatásakor minimális felhasználói közreműködéssel be tudjon töltődni.
A Helompy rendszeres időközönként csatlakozik egy távoli szerverhez, amelyről a saját frissítéseit igyekszik beszerezni.
Amikor a Helompy féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő mappákat, amelyekbe bemásolja a saját fájljait:
c:/win
%windir%/cidd_p
d:/programs
%TEMP%/[véletlenszerű karakterek]_Rar/
Az alkalmazott fájlnevek a következők lehetnek:
lsass.exe
configuration.exe
2. A fenti állományokat csak olvasható, rejtett és rendszer attribútumokkal látja el.
3. A fenti fájlokhoz a Windows esetében megszokott mappa ikont rendeli hozzá megtévesztési célokból.
4. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/run32="[a féreg elérési útvonala]"
5. Az elérhető, cserélhető meghajtókra felmásolja a saját állományait és egy Autorun.inf nevű fájlt.
6. Megpróbál különböző felhasználóneveket és jelszavakat összegyűjteni.
7. Létrehozza a következő állományt:
c:/DebugDLL/CatRoot/dll/systems.dll
8. Kikapcsolja az Internet Explorer automatikus kiegészítésekre szolgáló funkcióját:
HKCU/Software/Microsoft/Internet Explorer/Main/Use FormSuggest="no"
9. Folyamatosan naplózza a billentyűleütéseket azon ablakok esetében, amelyek címsora tartalmazza a következő kifejezéseket:
alas.matf.bg.ac.yu
bank
Connect to Remote Host
Gmail: Email from Google
Login
my.EUnet.rs
Password
PayPal
Sign
Welcome to Facebook! | Facebook
Yahoo! Mail: The best web-based email!
10. HTTP-kéréseket küld egy távoli webszerver felé.
11. Interneten keresztül megpróbálja frissíteni a saját állományait.
6 hozzászólás
Ez durva!
Tessék rendes tűzfalat használni, és úgy beállítani, hogy minden új alkalmazásnál rákérdezzen, hogy engedje-e az internettel való kommunikációt. Ha gyanús útvonalú fájl kéredzkedik, tiltani kell.
Hogyan Védekezzünk ellene?
ESET Smart Security 5-ben át lehet kapcsolni a tűzfalat interaktív szűrési módra, ez megkérdezi hogy mi jöhet és mi nem, valamit mi mehet és mi nem. (Ahogy Lápi is leírta)
Kasperksy Anti-Virussal ami kapásból proaktív védelemből kilövi a keyloggert, az eset smart securityt meg felejtsétek el mert harmatgyenge ahhoz képest hogy fizetős.
Bekaptam,ESET elkapta,pendrive-ot formázom.Elég?