Az "Animal Farm" APT támadás felismerése és eltávolítása

Az "Animal Farm" APT támadássorozat egészen 2007-ig visszanyúlik és főleg globális szervezeteket érintett.

A támadás valamely 0. napi sebezhetőséget kihasználva az alábbi trójai családok valamelyikét jutathatta a számítógépre:

  • Bunny
  • Dino
  • Babar
  • NBot
  • Tafacalou
  • Casper
Ezeket a trójai programokat a támadók főleg adatlopásokhoz, és egyéb kártevők bejuttatására használhatták.A pontos fertőzés megálapítására a proxyszerver vagy a tűzfal logjai között az alábbi domainfeloldásokat érdemes ellenőrizni:
  • almadmon[.]com
  • callientefever[.]info
  • fullapple[.]net
  • ghatreh[.]com
  • jpic.gov[.]sy
  • le-progres[.]net
  • marcurion[.]com
  • avs-electricload[.]com
  • bbcgram[.]com
  • gezelimmi[.]com
  • horizons-tourisme[.]com
  • usthb-dz[.]org

A kártevők eltávolítására a Norton™ Power Eraser valamint a számítógépére telepített egyéb kártevő eltávolító szoftver is használható.

A vizsgálatot a Windows csökkentett módú funkciójában érdemes végezni, melynek használatához segítséget az alábbi hivatkozáson talál:

http://windows.microsoft.com/hu-hu/windows/start-computer-safe-mode#start-computer-safe-mode=windows-7

További információk:

http://securelist.com/blog/research/69114/animals-in-the-apt-farm/