Összefoglaló
A Cutolomo trójai fő célja, hogy egy hátsó kaput létesítsen az áldozatul esett rendszeren.
Leírás
Annak érdekében, hogy ezt a hátsó kaput létre tudja hozni, manipulálnia kell a Windows néhány beállítását is. Miután ez megtörtént, a 80-as porton keresztül fogadja a vezérlő szerverutasításait, tehát a webes adatforgalomban rejti el magát.
Technikai részletek:
1. Létrehozza a következő állományokat:
c:documents and settingsadministratorapplication datasmart player installer.exe.
2. A regisztrációs adatbázishoz hozzáadja a következő értéket:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunnetupdateAdb=”c:documents and settingsadministratorapplication datasmart player installer.exe”
3. Létrehozza az alábbi fájlt:
c:intelnewz20633linklist.txt
4. A regisztrációs adatbázis módosításával hatástalanítja a Windows egyik (LUA – Least Privileged User Account) biztonsági funkcióját a következők szerint:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemEnableLUA=”0″
5. Csatlakozik egy távoli kiszolgálóhoz a 80-as TCP porton keresztül.
6. Letölt egy konfigurációs állományt.
7. Fogadja a terjesztői által kiadott parancsokat, amelyeket azonnal végrehajt.
Megoldás
Vírusirtó naprakészen tartása.
Támadás típusa
Other (Egyéb)Privilege escalation (jogosultság kiterjesztés)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.microsoft.com