Trojan.Kardphisher „aktivuje“ Windows

Marie Fišerová, 09. květen 2007 23:49 0 komentářů

Zhruba před týdnem vydala společnost Symantec oznámení o novém trojském koni s názvem Trojan.Kardphisher. Tento virus se šíří ve všech dvaatřicetibitových verzích operačních systémů Windows s výjimkou Windows Vista. Jde o jeden z dalších pokusů o získání informací phishingem. Ovšem největší škody si vyzrazením citlivých informací způsobí sám uživatel.


S tímto trojským koněm se lze setkat i ve Windows NT, 95, 98, ME, 2000, XP i 2003, i když je jeho nevyžadující aktivace o něco těžší. K proniknutí do systému využívá kontraverzní program Windows Genuine Advantage (WGA, Výhody legálních Windows) a vydává se za reaktivaci systému.
Text upozorňuje, že vaše kopie Windows byla aktivována jiným uživatelem a žádá její reaktivaci. To je však klamná informace, protože jediná možnost, jak aktivovat již jednou aktivovanou kopii na jiném počítači, je prostřednictvím vyresetování stavu aktivace. To může v databázích Microsoftu provést pouze telefonní operátor, s nímž se po odmítnuté aktivaci lze spojit na infolince společnosti. Dále se objeví tučné upozornění, že aktivační proces sice vybere informace o uživatelově kreditní kartě, ale přitom nijak samotnou aktivaci nezpoplatní.
Odmítnutí aktivace způsobí okamžité vypnutí počítače. Souhlas s aktivací přesune uživatele na další obrazovku.
V prvním kroku žádá vyplnit geografickou lokaci, v druhém kroku e-mailovou adresu a telefonní číslo a nakonec uživatel přidá své jméno, na které je vedena bankovní karta, její číslo, kódem PIN pro operace v bankomatech a platby u obchodníků, datum expirace a kód CVV2 na zadní straně karty.
Po spuštění vytváří Kardphisher ve složce, odkud byl spuštěn, soubor keylog.dll. V registrech Windows přibudou klíče:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\soft2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

Získané informace odešle na počítač skrytý za IP adresou 81.29.241.170.
Odstranění není problematické. Stačí deaktivovat automatické obnovení systému a spustit antivirovou kontrolu. Schopné antiviry by v tuto chvíli měly být schopny Kardphisher detekovat a eliminovat. Nakonec je třeba smazat výše zmíněné klíče z registrů.

Zdroj: Aktivujte Windows a nakrmte trojského koníka číslem kreditky


Komentáře

RSS 

Komentujeme

Sociální sítě pro B2B? Bláznovství!

Richard Jan Voigts , 17. květen 2017 07:00
Richard Jan Voigts

Agentura Ami Digital provedla průzkum ohledně využívání sociálních sítí v České republice. Ami Digit...

Více





RSS 

Zprávičky

Firmy zabývající se virtuální realitou zakládají asociaci

ČTK , 24. květen 2017 16:00

Cílem je propojit vývojářské týmy s universitami, investičními fondy a soukromým sektorem....

Více 0 komentářů

Sněmovna schválila novelu upravující přechod na vysílání DVB-T2

ČTK , 24. květen 2017 13:05

"Já jsem tam postrádal něco ve prospěch virtuálních mobilních operátorů," uvedl budoucí ministr fina...

Více 0 komentářů

Google chce propojit data z webové reklamy s nákupy v kamenných obchodech

ČTK , 24. květen 2017 10:46

Technologie dokáže propojit informace o tom, na co lidé na webu klikají a za co pak platí kartou v k...

Více 1 komentářů

Starší zprávičky

Apple a Nokia urovnaly patentový spor, podepsaly novou dohodu

ČTK , 24. květen 2017 10:00

Analytiky překvapilo relativně rychlé vyřešení sporu....

Více 0 komentářů

ČTÚ: Aukce kmitočtů v pásmu 3,7 GHz se zúčastní 6 subjektů

Pavel Houser , 24. květen 2017 09:00

Podle harmonogramu by ostrá aukce na celkem 5 kmitočtových bloků, každý o velikosti 40 MHz, měla zač...

Více 0 komentářů

Čínská firma chce vyvinout dron, který unese přes tunu nákladu

ČTK , 24. květen 2017 08:00

Jeden z největších čínských internetových prodejců JD.com oznámil, že se chystá vyvinout bezpilotní ...

Více 0 komentářů

it-sa 2017 poprvé ve dvou halách

ITBiz.cz , 23. květen 2017 17:00

Veletrh zabezpečení IT s největším počtem vystavovatelů v Evropě dál roste. Pět měsíců před konáním ...

Více 0 komentářů