Trojan : Win32/Sefnit
Ini dapat memungkinkan backdoor akses, men-download file, dan menggunakan koneksi PC dan Internet untuk click-fraud.
Online click-fraud adalah penyalahgunaan yang disengaja dari pendapatan iklan dengan menghasilkan klik yang tidak berasal dari calon pelanggan, atau dengan pembajakan klik dari penerbit yang sah.
Beberapa versi dari Sefnit dapat memantau Internet Explorer atau Mozilla Firefox untuk membajak hasil pencarian bila menggunakan Google, Yahoo, dan Bing.
Men-download lewat jaringan peer-to-peer, mungkin adalah sebuah program yang sah. Ia menyebar melalui eMule berbagai program, berpura-pura menjadi program yang sah.
Gambar dibawah ini adalah contoh dari bundler perangkat lunak yang menginstall Sefnit selama instalasi :
Varian Sefnit menggunakan nama layanan berikut :
> FlashPlayerUpdateService.exe - Adobe Flash Player Update Service.
> BleServicesCtrl.exe - Bluetooth LE Services Control Protocol.
> TrustedInstaller.exe - Windows Modules Installer.
Beberapa varian host layanan proxy sah yang disebut 3proxy sebagai dari bagian muatan click fraud.
Versi Sefnit mungkin sampai di sistem file eksekusi dan drop komponen DLL menggunakan berbagai nama file dan folder.
versi kemudian mengubah registri sehingga salinan menjatuhkan secara otomatis berjalan setiap kali Windows start, seperti berikut :
Tempat : HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
File : mfcUserppm
Aplikasi : rundll32.exe
Trojan terhubung ke remote server, dikenal sebagai Command and Control (C&C) server. Ketika terhubung, mencoba untuk men-download data yang atau untuk mengambil tindakan.
Beberapa domain (C&C) yang digunakan oleh trojan ini meliputi :
> updservice.net
> svcupd.net
> updsvc.com
Trojan menggunakan metode berbeda untuk menghubungi server, contohnya :
> HTTP
> HTTP melalui Tor
> SSH sah menggunakan aplikasi PuTTY.
Beberapa varian menambahkan layanan Tor dengan nama " Tor Win32 Service " Ini layanan yang sah yang digunakan oleh trojan untuk anonymize trafik jaringan.
Ini dapat memungkinkan backdoor akses, men-download file, dan menggunakan koneksi PC dan Internet untuk click-fraud.
Online click-fraud adalah penyalahgunaan yang disengaja dari pendapatan iklan dengan menghasilkan klik yang tidak berasal dari calon pelanggan, atau dengan pembajakan klik dari penerbit yang sah.
Beberapa versi dari Sefnit dapat memantau Internet Explorer atau Mozilla Firefox untuk membajak hasil pencarian bila menggunakan Google, Yahoo, dan Bing.
Men-download lewat jaringan peer-to-peer, mungkin adalah sebuah program yang sah. Ia menyebar melalui eMule berbagai program, berpura-pura menjadi program yang sah.
Gambar dibawah ini adalah contoh dari bundler perangkat lunak yang menginstall Sefnit selama instalasi :
Varian Sefnit menggunakan nama layanan berikut :
> FlashPlayerUpdateService.exe - Adobe Flash Player Update Service.
> BleServicesCtrl.exe - Bluetooth LE Services Control Protocol.
> TrustedInstaller.exe - Windows Modules Installer.
Beberapa varian host layanan proxy sah yang disebut 3proxy sebagai dari bagian muatan click fraud.
Versi Sefnit mungkin sampai di sistem file eksekusi dan drop komponen DLL menggunakan berbagai nama file dan folder.
versi kemudian mengubah registri sehingga salinan menjatuhkan secara otomatis berjalan setiap kali Windows start, seperti berikut :
Tempat : HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
File : mfcUserppm
Aplikasi : rundll32.exe
Trojan terhubung ke remote server, dikenal sebagai Command and Control (C&C) server. Ketika terhubung, mencoba untuk men-download data yang atau untuk mengambil tindakan.
Beberapa domain (C&C) yang digunakan oleh trojan ini meliputi :
> updservice.net
> svcupd.net
> updsvc.com
Trojan menggunakan metode berbeda untuk menghubungi server, contohnya :
> HTTP
> HTTP melalui Tor
> SSH sah menggunakan aplikasi PuTTY.
Beberapa varian menambahkan layanan Tor dengan nama " Tor Win32 Service " Ini layanan yang sah yang digunakan oleh trojan untuk anonymize trafik jaringan.
Tidak ada komentar:
Posting Komentar