Pendrive-okon élősködik a Tozap féreg

A cserélhető adattárolókon terjedő Tozap féreg elsősorban szolgáltatásmegtagadási támadásokból tudja kivenni a részét.

A Tozap féreg készítői inkább a kártékony programjuk funkcionalitására helyezték a hangsúlyt, mintsem a terjedési mechanizmusok fejlesztésére koncentráltak. Emiatt a féreg a már hagyományosnak számító, cserélhető adattárolókra épülő terjedésre képes, melynek során kihasználja a Windows Autorun képességeit is annak érdekében, hogy a lehetőségekhez mérten minél kevesebb felhasználói közreműködéssel tudjon betöltődni.

Az Isidor Biztonsági Központ szerint a Tozap egy hátsó kaput nyit a rendszereken, majd várakozik a támadók parancsaira. Ők elsősorban szolgáltatásmegtagadási támadásokhoz használhatják fel a fertőzött számítógépeket. Emellett pedig további ártalmas kódokat juttathatnak fel a PC-kre, és ezáltal egyéb nemkívánatos programok terjesztését is elősegíthetik.

A Tozap féreg egy olyan összetevővel is rendelkezik, amely bizonyos mértékű adatszivárogtatásra teszi alkalmassá. A féreg a Firefox profilokat veszi górcső alá, és azokból teszi elérhetővé a terjesztői számára a különféle információkat.

Amikor a Tozap féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%UserProfile%/Application Data/Microsoft/winlog.exe

2. Létrehozza az alábbi fájlt:
%Temp%/Program.exeadobe-master-cs4-keygen..exe

3. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/"winlog.exe" = "%UserProfile%/Application Data/Microsoft/winlog.exe"

4. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.

5. A cserélhető adattárolók gyökérkönyvtárába bemásolja a következő két fájlt:
%meghajtó betűjele%/winlog.exe
%meghajtó betűjele%/autorun.inf

Kristóf Csaba
2012. március 23., 06:55

http://biztonsagportal.hu/pendrive-okon-eloskodik-a-tozap-fereg-20120322...