Matsnu

Pažeidžiamos kompiuterinės sistemos ir programos:

Windows OS

Aprašymas:

Matsnu yra kenkėjiškas programinis kodas kitaip dar vadinamas trojos arkliu (angl. Trojan Horse). Į kompiuterius patenka kartu su nepageidaujamais el. laiškais (SPAM), kurie būna užmaskuoti taip, kad atrodytų kaip atsiųsti iš patikimo šaltinio ir išprovokuotų vartotoją parsisiųsti kenkėjiškame laiške prikabintą failą. Užkrėstame kompiuteryje vykdo šią kenkėjišką veiklą:

  • nusikopijuoja save į kelias operacinės sistemos direktorijas;
  • modifikuoja sistemos registrų (angl. Registry Keys) reikšmes;
  • užmezga ryšį su nuotoliniu C&C (angl.Command&Control) serveriu, taip atverdamas galines duris (angl. Backdoor);
  • siunčia C&C serveriui infomaciją apie kompiuterio techninę ir programinę įrangą;
Matsnu atidarytomis galinėmis durimis naudodamasis piktavalis gali perduoti kompiuteriui įvarias komandas, tokiu būdu įgydamas visišką kompiuterio ir jame esančių failų kontrolę.

Rekomendacijos užsikrėtus:
  • išjungti kenkėjišką trojos arklio procesą (generuojantį tinklo srautą susijungimams su C&C serveriu);
  • patikrinti šių registrų reikšmes, jose nurodyti Matsnu sugeneruoti kenkėjiški failai:
"Software\Microsoft\Windows\CurrentVersion\RunOnce"
"Software\Microsoft\Windows\CurrentVersion\Run"
  • ištrinti nurodytus kenkėjiškus failus, bei šiuos registrus;
  • atstatyti šio registrų įrašo savininką:
“Software\Microsoft\Windows Nt\CurrentVersion\Winlogon” (HKEY_CURRENT_USER)
  • atlikti pilną sistemos patikrą antivirusinėmis programomis;
  • jei manote, kad patys išvalyti ir apsaugoti savo įrenginio(-ų) negalėsite, kreipkitės pagalbos į IT specialistus.
Informacijos šaltiniai:

https://www.symantec.com/security_response/writeup.jsp?docid=2012-022722-1813-99
http://blog.checkpoint.com/wp-content/uploads/2015/07/matsnu-malwareid-technical-brief.pdf

Visos rekomendacijos