Trojan.Turla
Angol cím: 
Trojan.Turla
CERT-Hungary ID: 
CH-10462
Felfedezés dátuma: 
2014-01-13
Összefoglaló: 

A Trojan.Turla egy trójai kártevő, amely hátsókaput nyit a számítógépen és információkat szerez meg a fertőzött gépről.

Leírás: 

A Turla a következő fájlokat, registry bejegyzéseket és szolgáltatást hozza létre:

  • %CurrentFolder%\SPUNINST\vt.bin
  • %Windir%\resin.bin
  • %System%\vtmon.bin
  • %System%\drivers\mrxdmb.sys
  • %System%\drivers\nmnu.sys
  • %Windir%\$NtU*\mtmon.sdb
  • %Windir%\$NtU*\scmp.bin
  • %Windir%\$NtU*\cmp.bin

 

  • HKEY_LOCAL_MACHINE\SYSTEM\Select\"Default" = "01"
  • HKEY_LOCAL_MACHINE\SYSTEM\Select\"LastKnownGood" = "01"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nmnu\"DisplayName"= "nmnu"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nmnu\"ImagePath" = "%System%\drivers\nmnu.sys"

Service name: mrxdmb
Image Path: %System%\drivers\mrxdmb.sys

A Turla az alábbi C&C szerverekhez próbál csatlakozni:

  • nightday.comxa.com
  • sanky.sportsontheweb.net
  • tiger.netii.net
  • north-area.bbsindex.com
Hivatkozások: 
Megoldás: 

Frissítse a víruskereső adatbázisát.

Érintett verziók: 
Windows