neděle 20. května 2012

Trojan.Komodola

Trojan.Komodola je trojský kůň, který přesměruje internetový provoz na ohrožena počítače a pokouší se krást informace. 
Po spuštění Trojan klesne následující soubory: 
  • % System% \ gb_catchme.exe
  • % System% \ DevCon.exe
  • SystemDrive%% \ SessionChange_ [DATUM] _ [TIME]. Log
  • % System% \ gb_service.exe
  • % System% \ registro_bb.reg
  • % System% \ registro_driver.reg
  • % System% \ registro_itau.reg
  • % System% \ registro_sicredi.reg
  • % System% \ snetcfg.exe

Trojan upraví následující podklíč registru:
  • % System% \ drivers \ etc \ hosts

Trojan vytváří následující položky registru:
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ auto_gas \ "Start" = "0x2"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ auto_gas \ "ErrorControl" = "0x0"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ auto_gas \ "ObjectName" = "LocalSystem"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ auto_gas \ "Typ" = "0x10"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ auto_gas \ "DisplayName" = "Auto Gas"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ auto_gas \ "ImagePath" = "% System% \ gb_service.exe"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Network \ NetCfgLockHolder \ "(Výchozí)" = "Sample netcfg Aplikace (netcfg.exe)"

Trojan shromažďuje informace z ohrožena počítače a pošle jej do vzdáleného útočníka. trojské odinstaluje takto:


  • GpPlugin
  • WinpkFilter řidiče

Trojan se může také přesměrovat síťovou komunikaci z bankovních webů na nebezpečný serveru, aby se krást přihlašovací údaje.

Žádné komentáře:

Okomentovat