Infostealer.Ayufos
Angol cím: 
Infostealer.Ayufos
CERT-Hungary ID: 
CH-10773
Felfedezés dátuma: 
2014-03-21
Összefoglaló: 

Az Ayufos trójai adatlopással okozhat károkat. Többféle módszert alkalmazhat a bizalmas információk beszerzésére, például rendszeresen képes képernyőképet készíteni, figyeli a billentyűleütéseket és a vágólap tartalmát lementi. Képes továbbá rendszerinformációt beszerezni, valamint az egyes alkalmazások által tárolt hitelesítő adatokat is megszerezheti. A terjesztői számára elektronikus levélben továbbítja a megszerzett információkat.

Számos olyan műveletet végez az Ayufos trójai, amivel a felhasználók figyelmét felhívhatja, hogy a számítógépével valami probléma van. A Vezérlőpultot elérhetetlenné teszi, valamint a károkozó rendszeresen különféle folyamatokat állít le. A Windows beépített tűzfalát kikapcsolja, hogy észlelése nehezebb legyen, valamint a hálózati kommunikációja akadálymentes legyen.

Leírás: 

1. Annak érdekében, hogy egyszerre csak egy példányban futhasson létrehoz egy mutexet.

2. A saját kódját felmásolja a rendszerre az alábbiak szerint:
C:\Documents and Settings\All Users\Application Data\svchost.exe

3. Előre meghatározott távoli kiszolgálóhoz csatlakozik.

4. A következő információkat gyűjti össze:
- a Pidgin, a Filezilla, az OpenVPN és a WinRar alkalmazások által elmentett hitelesítő adatok
- IP-cím
- operációs rendszer verziója
- a Windows termékkulcsa
- területi beállítások.

5. A vágólap monitorozásával, képernyőképek készítésével, billentyűleütések naplózásával végzi az adatok kiszivárogtatását.

6. A Windows beépített tűzfalát hatástalanítja.

8. Folyamatokat állít le.

9. A Vezérlőpultot elérhetetlenné teszi.

10. A terjesztői számára elektronikus levélben továbbítja a megszerzett információkat.

Hivatkozások: 
Megoldás: 

Használjon megfelelő tűzfalat, illetve naprakész vírusírtót.

Érintett verziók: 
Windows 98,
Windows 95,
Windows XP,
Windows Server 2008,
Windows 7,
Windows Me,
Windows Vista,
Windows NT,
Windows Server 2003,
Windows 2000