Encyklopedický vstup
Aktualizováno: 10.02.2012 | Zveřejněno: Září 07, 2011 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 10.02.2012 | Zveřejněno: Září 07, 2011 Aliasy
-
W32/Troj_Generic.ETBF (Norman)
- Trojan horse Generic26.BEIM (AVG)
- BackDoor.Tdss.6992 (Dr.Web)
- Win32/Olmarik.AXW trojan (ESET)
- Trojan-Spy.Win32.Zbot (Ikarus)
- Trojan-Dropper.Win32.Pihar.nw (Kaspersky)
- Backdoor.Pihar (Symantec)
- TROJ_SPNR.27A012 (Trend Micro)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
| Detekce poslední aktualizace: Definice: 1.127.470.0 Vydáno: 23.května 2012 | Detekce původně vytvořeny: Definice: 1.111.1711.0 Vydáno: 07.09.2011 |
Shrnutí
Trojan:Win32/Alureon.FK je součástí Win32/Alureon- Rodina pro krádež dat trojské koně. Tyto trojské koně útočníkovi umožnit zachytit příchozí a odchozí provoz na internetu, za účelem získání důvěrných informací, jako jsou uživatelská jména, hesla a údaje o kreditní kartě. Win32/Alureon trojan může útočníkovi umožnit přenášet nebezpečné data do infikovaného počítače.
Trojan může změnit DNSnastavení na hostitelském počítači, aby se útočník k plnění těchto úkolů. V důsledku toho může být nutné překonfigurovatDNSNastavení po Win32/Alureon se odstraní z počítače.
Obnovení nastavení DNS
Domain Name System (DNS) Se používá (mimo jiné) k mapování doménových jmen na IP adresy - tedy zmapovat čitelné názvy domén do strojově čitelné IPadresy. Pokud se uživatel pokusí navštívit zejménaURL, Bude prohlížeč používat DNS servery najít správné IPadresa požadované domény. Pokud je uživatel přesměrován na nebezpečný server, který není součástí autoritativníDomain Name System, Může útočník poskytnout nesprávné IP Adresy na jejich výběru pro mapování jednotlivých doménových jmen, a tak směruje uživatele na možná falešné nebo škodlivé weby bez ohroženého vědomí uživatele.
Win32/Alureon může modifikovat DNS nastavení na hostitelském počítači, a tak se následující postup může být vyžadováno po Win32/Alureon dokončení odebrání:
- Pokud má počítač síťové rozhraní, které neobdrží konfigurace pomocí DHCP, Reset DNSkonfigurace v případě potřeby. Informace o konfiguraciTCP/IP k použití DNS v Windows XP, Viz http://support.microsoft.com/kb/305553
- Pokud dial-up připojení je někdy používán z počítače, překonfigurujte dial-up nastavení v rasphone.pbk soubor jako nutné, protože Win32/Alureonmůže nastavit pole "IpDnsAddress"A"IpDns2Address"V rasphone.pbksoubor na útočníkův adresu. Microsoft Skener kód, který automaticky odstraňuje Win32/Alureon zálohuje infikovaný telefonické konfigurační soubor:
%ALLUSERSPROFILE%\Application Data\Microsoft\Network\Connections\Pbk\rasphone.pbk.bak
Příznaky
Nejsou žádné běžné příznaky spojené s touto hrozbou. Varovná oznámení z nainstalovaný antivirový software, může být pouze příznaky.
Technické informace (analýza)
Trojan:Win32/Alureon.FK je součástí Win32/Alureon- Rodina pro krádež dat trojské koně. Tyto trojské koně útočníkovi umožnit zachytit příchozí a odchozí provoz na internetu, za účelem získání důvěrných informací, jako jsou uživatelská jména, hesla a údaje o kreditní kartě. Win32/Alureontrojan může útočníkovi umožnit přenášet nebezpečné data do infikovaného počítače. Trojan může změnitDNSnastavení na hostitelském počítači, aby se útočník k plnění těchto úkolů. V důsledku toho může být nutné překonfigurovatDNS Nastavení po Win32/Alureon se odstraní z počítače.
Instalace
Trojan:Win32/Alureon.FK kapky kopii sebe sama v %Temp% složku s následujícím formátu název souboru:
- %TEMP%\ <randomly Generována character>.tmp
- %TEMP%\winupd.exe
Malware modifikuje následující položku registru tak, aby jeho kopie provádí na každém Windows start:
V podklíč: HKCU\software\microsoft\windows\currentversion\run
Nastaví hodnotu: "winupd"
S údaje: "c:\documents and settings\administrator\local settings\temp:winupd.exe"
Nastaví hodnotu: "winupd"
S údaje: "c:\documents and settings\administrator\local settings\temp:winupd.exe"
Trojan:Win32/Alureon.FK může klesnout nebezpečného řidiče, jako zjištěné Trojan:WinNT/Alureon.AAV příslušném počítači v rámci %windir%\tempsložku, například:
%windir%\temp\8.tmp - Detekován jako Trojan:WinNT/Alureon.AA
To dělá tyto úpravy registru pro zrušenou řidiče, zaregistrovat jako službu před pokusem o načtení:
V podklíč: HKLM\system\currentcontrolset\services\<Servisní name>
Nastaví hodnotu: "imagepath"
S údaje: "%windir%\temp\8.tmp"
Nastaví hodnotu: "imagepath"
S údaje: "%windir%\temp\8.tmp"
Kde <Servisní name> je řetězec náhodně generovaných znaků, například: d7607600
Trojan:Win32/Alureon.FK pokusy aplikovat řidiče, rozpoznaný jako Trojan:WinNT/Alureon.AA, Do "spooler"Služba. Služba pak může být restartován ručně tak, aby jeho řidič klesla také provozuje.
Užitečná
Kontakty vzdáleným strojům
Trojan:Win32/Alureon.FK se mohou obrátit na vzdáleného hostitele na citycenter22.com přes TCPport 80. Obyčejně, malware může obrátit na vzdáleného hostitele pro následující účely:
- Pro potvrzení připojení k Internetu
- Chcete-li nahlásit nové infekce autora
- Chcete-li přijímat konfigurační nebo jiné údaje,
- Chcete-li stáhnout a spustit libovolný soubor (včetně aktualizací nebo další malware)
- Chcete-li přijímat pokyny od vzdáleného útočníka
- Chcete-li odeslat údaje přebírané z postiženého počítače
Žádné komentáře:
Okomentovat