Morstup trójai
Angol cím: 
Infostealer.Morstup
CERT-Hungary ID: 
CH-11864
Felfedezés dátuma: 
2014-12-10
Összefoglaló: 

A Morstup trójai leginkább kémkedési célokkal terjed. Az általa megfertőzött számítógépeken először a webböngészőket manipulálja, és azok egyes beállításainak megváltoztatásával próbálja megkönnyíteni a saját dolgát. Emellett az Internet Explorer, a Firefox, valamint a Chrome alkalmazások megfertőzésével igyekszik elősegíteni az adatlopást.

A Morstup a Windows hálózatkezeléshez kapcsolódó API-jait is felhasználja ahhoz, hogy a webes adatforgalomba "belelásson". Ezáltal a trójai képes a kimenő adatok vizsgálatára, illetve lementésére.

A kártékony program az összegyűjtött adatokat egy előre meghatározott kiszolgálóra tölti fel.

Leírás: 

1. Létrehozza a következő állományokat:
%UserProfile%\Application Data\[véletlenszerű karakterek].vbs
%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup\[véletlenszerű karakterek]\[véletlenszerű karakterek].bat
%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup\[véletlenszerű karakterek].exe
2. Megfertőzi az alábbi webböngészőket, illetve az azokhoz tartozó folyamatokat:
Internet Explorer
Chrome
Firefox.
3. Módosítja a webböngészők beállításait.
4. Letiltja a SPDY protokoll támogatását.
5. Hálózatkezeléshez tartozó API-k felhasználásával folyamatosan figyelemmel kíséri a kimenő HTTP adatforgalmat.
6. Az összegyűjtött adatokat feltölti egy távoli kiszolgálóra.

Megoldás: 
Frissítsen a legújabb verzióra
Érintett verziók: 
Microsoft