Összefoglaló
A Sofacy.B egy trójai program, amely a rendszerbe kerülve a billentyű leütéseket figyeli és érzékeny információkat szivárogtat ki a rendszerről. Terjedése általában e-mail formájában történik.
Leírás
A Sofacy.B egy trójai program, amely a rendszerbe kerülve a billentyű leütéseket figyeli és érzékeny információkat szivárogtat ki a rendszerről. Terjedése általában e-mail formájában történik.
Működése:
- Amikor a trójai elindul, létrehozza a következő fájlt : C: Program Files Internet Explorernetidt.dll
- majd létrehozza a következő bejegyzéseket :
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesNetwork Identification Service
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesNetwork Identification Serviceparameters
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesNetwork Identification ServiceparametersServiceDll = C:Program FilesInternet Explorernetidt.dll
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesNetwork Identification ServiceparametersServiceDllUnloadOnStop = 1
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchostntsvcs = Network Identification Service
- végül csatlakozik a kiszolgálóhoz
Megoldás
Biztonsági szabályok megfelelő alkalmazása.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
http://www.symantec.com/security_response/writeup.jsp?docid=2013-101116-5709-99