[Ostrzeżenie] Trojan.Koredos

Informacje o najnowszych zagrożeniach i sposobach leczenia
Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21305
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

[Ostrzeżenie] Trojan.Koredos

Post06 mar 2011, 00:32

Trojan.Koredos

Trojan ten po instalacji tworzy:

Kod: Zaznacz cały

    * %System%\[RANDOM CHARACTERS]svc.dll (trzy kopie)
    * %System%\rtdrvupr.exe
    * %System%\noise03.dat
    * %System%\tljoqgv.dat
    * %System%\tlntwye.dat
    * %System%\faultrep.dat


tworzy i uruchamia usługę

[STRING 1] [STRING 2] Service
gdzie [STRING 1]przyjmuje wartość

Kod: Zaznacz cały

    * Mircorosft
    * Windows


zaś string 2:
* Media security container
* DNS Security controler
* Beautiful Windows background
* Beautiful Background Color
* Comfortable Desktop Controler
* Comfortable game controler
* Efficent game controler
* Security Account
* Security Inernet Bank
* DNS resolve
* Wireless protection
* Vga adapter
* Mpeg adapter
* Wmi adapter
* Security catalog
* Logon information
* Network account
* Cryptograpic file
* Distributed Link Tracking Client
* Com library
* Application information
* Security inforamion
* System information
* Remote account
* Remote user
* Account information
* Removal stoarage
* Storage protect

Następnie zmienia dane w pliku hosts oraz kopiuje i koduje hasłem pliki do pliku CAB:

Kod: Zaznacz cały

    * .zip
    * .cpp
    * .java
    * .jsp
    * .aspx
    * .asp
    * .php
    * .rar
    * .gho
    * .alz
    * .pst
    * .eml
    * .kwp
    * .gul
    * .hna
    * .hwp
    * .pdf
    * .pptx
    * .ppt
    * .mdb
    * .xlsx
    * .xls
    * .wri
    * .wpx
    * .wpd
    * .docm
    * .docx
    * .doc
    * .cab


Może być używany do prowadzenia ataków DDoS

Źródło: Symantec
Hotfix
Pozdrawiam, cosik_ktosik :)


  • Reklama

Wróć do „Zagrożenia i leczenie”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 2 gości