Trojan.Kardphisher „aktivuje“ Windows

Marie Fišerová, 09. květen 2007 23:49 0 komentářů

Zhruba před týdnem vydala společnost Symantec oznámení o novém trojském koni s názvem Trojan.Kardphisher. Tento virus se šíří ve všech dvaatřicetibitových verzích operačních systémů Windows s výjimkou Windows Vista. Jde o jeden z dalších pokusů o získání informací phishingem. Ovšem největší škody si vyzrazením citlivých informací způsobí sám uživatel.


S tímto trojským koněm se lze setkat i ve Windows NT, 95, 98, ME, 2000, XP i 2003, i když je jeho nevyžadující aktivace o něco těžší. K proniknutí do systému využívá kontraverzní program Windows Genuine Advantage (WGA, Výhody legálních Windows) a vydává se za reaktivaci systému.
Text upozorňuje, že vaše kopie Windows byla aktivována jiným uživatelem a žádá její reaktivaci. To je však klamná informace, protože jediná možnost, jak aktivovat již jednou aktivovanou kopii na jiném počítači, je prostřednictvím vyresetování stavu aktivace. To může v databázích Microsoftu provést pouze telefonní operátor, s nímž se po odmítnuté aktivaci lze spojit na infolince společnosti. Dále se objeví tučné upozornění, že aktivační proces sice vybere informace o uživatelově kreditní kartě, ale přitom nijak samotnou aktivaci nezpoplatní.
Odmítnutí aktivace způsobí okamžité vypnutí počítače. Souhlas s aktivací přesune uživatele na další obrazovku.
V prvním kroku žádá vyplnit geografickou lokaci, v druhém kroku e-mailovou adresu a telefonní číslo a nakonec uživatel přidá své jméno, na které je vedena bankovní karta, její číslo, kódem PIN pro operace v bankomatech a platby u obchodníků, datum expirace a kód CVV2 na zadní straně karty.
Po spuštění vytváří Kardphisher ve složce, odkud byl spuštěn, soubor keylog.dll. V registrech Windows přibudou klíče:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\soft2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

Získané informace odešle na počítač skrytý za IP adresou 81.29.241.170.
Odstranění není problematické. Stačí deaktivovat automatické obnovení systému a spustit antivirovou kontrolu. Schopné antiviry by v tuto chvíli měly být schopny Kardphisher detekovat a eliminovat. Nakonec je třeba smazat výše zmíněné klíče z registrů.

Zdroj: Aktivujte Windows a nakrmte trojského koníka číslem kreditky


Komentáře

RSS 

Komentujeme

Intel Inside aneb všichni jsme načipováni

Petr Zavoral , 10. prosinec 2017 18:20
Petr Zavoral

V Havlově hře Audience přesvědčuje Sládek Ferdinanda Vaňka, aby donášel sám na sebe. Z pohledu letoš...

Více







Kalendář

09. 01.

13. 01.
CES 2018
18. 01.

19. 01.
itSMF 2018
29. 01.

30. 01.
G2BTechEd

RSS 

Zprávičky

Termínovaný kontrakt na bitcoin dosáhl 20 650 dolarů

ČTK , 18. prosinec 2017 13:09

Po CBOE spustila obchodování s termínovými kontrakty na bitcoin i burza CME. Totéž zvažuje i Deutsch...

Více 0 komentářů

Vláda USA a AT&T se nedohodly ohledně převzetí Time Warneru

ČTK , 18. prosinec 2017 12:36

Podle ministerstva by transakce omezila hospodářskou soutěž a poškodila spotřebitele....

Více 0 komentářů

Tiskové agentury chtějí od webových firem peníze za zpravodajství

ČTK , 18. prosinec 2017 08:00

Kritici: Facebook ani Google nemají svou redakci, nemají žádné zpravodajské sítě, národní ani meziná...

Více 1 komentářů

Starší zprávičky

Rozhodnutí ÚS o odložení EET může vést k žalobám na stát

ČTK , 16. prosinec 2017 09:00

Tisíce a možná desítky tisíc podnikatelů a zástupců různých profesí se na třetí a čtvrtou vlnu EET u...

Více 1 komentářů

E-shopy vyjmutí plateb kartou z EET vítají, přišlo prý ale pozdě

ČTK , 16. prosinec 2017 08:00

Podle ministerstva financí ze zrušení povinnosti evidovat platby kartou pro poplatníky nevyplývá nut...

Více 0 komentářů

Nové Embarcadero RAD Studio obsahuje i licenci pro aplikační server

Pavel Houser , 15. prosinec 2017 10:00

Vývojové prostředí nabízí i nové prvky knihovny vizuálních komponent a nové možnosti grafického uživ...

Více 0 komentářů

Botnet Necurs se vrátil a šíří nový ransomware

Pavel Houser , 15. prosinec 2017 09:00

V listopadu došlo k oživení botnetu Necurs v souvislosti s distribucí nového ransomwaru Scarab. ...

Více 0 komentářů