Víruskeresőket hatástalanít a Tapaoux trójai

1
Kristóf Csaba
2011. november 18., 08:40
Nyomtatás
Annak érdekében, hogy a Tapaoux trójai zavartalanul tudja végezni a tevékenységét biztonsági alkalmazásokat hatástalanít, majd szabad bejárást biztosít a számítógépekre.

A Tapaoux trójai készítői olyan képességekkel ruházták fel a kártékony programjukat, amelyek révén az alkalmassá vált egyes biztonsági programok hatástalanítására. A károkozó elsősorban a Kaspersky, az ESET, a BitDefender és az AVG szoftvereket próbálja meg leállítani. Eközben megkísérel kihasználni egy olyan - az Adobe által már megszüntetett - sebezhetőséget, amely az Adobe Reader alkalmazás TTF fontkezelését érinti.

Az Isidor Biztonsági Központ közleménye kitér arra, hogy a Tapaoux egy hátsó kaput létesít a fertőzött rendszereken, majd várakozik a terjesztők parancsaira. Fontos megemlíteni, hogy a trójai egy rootkit komponenst is feltelepít a számítógépekre, amelyek révén próbálja leplezni a jelenlétét.

A Tapaoux alkalmas egyéb kártékony programok internetről való letöltésére és telepítésére is.

Amikor a Tapaoux trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. A Windows %System% könyvtárába fájlokat másol be, amelyek nevében a következő kifejezéseket használja fel:
schechk
securx86
imagepk
npidsz4
sscore1
expsrv32
sisraid3
ql5200
hwpolicy

Az állományokhoz .dll, .exe, .sys vagy .bin kiterjesztést rendel.

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/EpsonK200

3. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a fertőzött rendszeren.

4. Létrehoz egy kernel objektumot.

5. A regisztrációs adatbázis alábbi kulcsainak vizsgálatával ellenőrzi, hogy milyen biztonsági alkalmazások futhatnak a számítógépen:
HKEY_LOCAL_MACHINE/SOFTWARE/Avira
HKEY_LOCAL_MACHINE/SOFTWARE/KasperskyLab/protected//AVP5
HKEY_LOCAL_MACHINE/SOFTWARE/KasperskyLab/protected//AVP6
HKEY_LOCAL_MACHINE/SOFTWARE/KasperskyLab/protected//AVP7
HKEY_LOCAL_MACHINE/SOFTWARE/KasperskyLab/protected//AVP8
HKEY_LOCAL_MACHINE/SOFTWARE/KasperskyLab/protected
HKEY_LOCAL_MACHINE/SOFTWARE/Trendmicro/PC-Cillin
HKEY_LOCAL_MACHINE/SOFTWARE/ESET/ESET Security/Current version/info
HKEY_LOCAL_MACHINE/SOFTWARE/Bitdefender/Bitdefender Desktop/Main

6. Leellenőrzi, hogy léteznek-e az alábbi folyamatok:
AVGIDSAgent.exe
AVGIDSMonitor.exe
avgtray.exe
AntiSpyWare2Guard.exe
RsTray.exe
RavMonD.exe
ollydbg.exe
filemon.exe
regmon.exe
icesword.exe
idag.exe
ethereal.exe
pslist.exe

7. Leállítja a biztonsági szoftverekhez tartozó folyamatokat.

8. Csatlakozik egy távoli szerverhez.

9. Interneten keresztül különböző kártékony állományokat juttat fel a PC-re.

10. Egy rootkit komponenst telepít fel az alábbi fájlok egyikeként:
%System%/schechk.sys
%System%/securx86.sys
%System%/imagepk.sys
%System%/npidsz4.sys
%System%/sscore1.sys
%System%/expsrv32.sys
%System%/sisraid3.sys
%System%/ql5200.sys
%System%/hwpolicy.sys

11. A rootkit segítségével elrejti a saját állományait, bejegyzéseit.

 

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

0 hozzászólás

Ehhez a cikkhez még nem érkezett hozzászólás.
ESET Online Vírusirtó
Céginfó hírek (x)

Kiadó
Partnereink
IDG Worldwide

© 1999-2012 IDG Hungary Médiaszolgáltató Kft. Minden jog fenntartva.