[Tanel]

link :: E24


Turvalahenduste tootja ESETi internetipõhine pahavara kogumise süsteem on märganud, et aktiivsemalt on hakanud tegutsemaWin32/Lethic.AA-nimeline trooja, mida kasutatakse rämpsposti levitamiseks ning see on kaugjuhitav. Kasutaja arvutisse pääsemiseks haagib Win32/Lethic.AA end ilmselt mõne teist tüüpi pahavara külge või siis laeb juba arvutis olev pahavara selle trooja hobuse kasutaja arvutisse. Trooja põhieesmärk on muuta nakatunud arvuti üheks osaks võimsast spämmirobotist, mis levitab soovimatut e-posti. Avastamise vältimiseks lisatakse trooja programmikood explorer.exe faili.

Märtsi keskpaiga seisuga on Win32/Lethic.AA üks levinumaid ohtusid. Kõige rohkem arvutikasutajaid on rünnaku ohvriks langenud Hollandis, kus see trooja moodustab ligi 13 protsenti kõigist tuvastatud ohtudest.

Sama trooja hobust on esinenud ka Eestis ja Belgias. Trooja osakaal Taanis, Norras, Rootsis, Portugalis ja Sloveenias on ESETi andmetel umbes 3 protsenti. Trooja ohustab ka Slovakkia, Horvaatia, Serbia, Kreeka, Venemaa ja Suurbritannia arvutikasutajaid - trooja on nendes riikides kahekümne levinuima ohu seas.

Selle trooja hobuse vastu võitlemiseks soovitab ESET kasutada veebibrauserite ja viirusetõrjetarkvara uusimaid versioone ning olla failide allalaadimisel ja Internetis surfamisel alati ettevaatlik.

[laurx]

Threat Encyclopaedia
Print this pageSend
Win32/Lethic.AA
Aliases: P2P-Worm.Win32.Palevo.rmm (Kaspersky), VirTool:Win32/DelfInject.gen!BH (Microsoft), Generic.dx!nns trojan (McAfee)
Type of infiltration: Trojan
Size: 43008 B
Affected platforms: Microsoft Windows
Signature database version: 4860 (20100212)

Short description
Win32/Lethic.AA is a trojan that is used for spam distribution. It can be controlled remotely.
Installation
When executed, the trojan copies itself into the following location:

* C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe

The following file is dropped in the same folder:

* desktop.ini

In order to be executed on every system start, the trojan sets the following Registry entries:

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon]
"Taskman" = "C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe"
* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon]
"shell" = "C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe"
* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run]
"psysnew" = "C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe"

Spam distribution
Win32/Lethic.AA is a trojan that is used for spam distribution.

The trojan acquires data and commands from a remote computer or the Internet.

The trojan contains a list of (1) URLs.
Other information
The trojan creates and runs a new thread with its own program code within the following processes:

* explorer.exe

ehk siis maakeeli tuleb masina skännimise ajaks system restore välja lülitada, kuna teda taastatakse iga kord taaskäivitusel. ehk siis system restore i asutamisel pole skännimisest abi. kaspersky virus removal tool ja f-secure easyclean peaks sellega juba hakkama saama.