W32.Extrat.B

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Windows 98, Windows 95, Windows XP, Windows Server 2008, Windows 7, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

Összefoglaló

A W32.Extrat.B egy olyan kártevő, amely eltávolítható meghajtókon és Peer-2-Peer fájlmegosztó hálózatokon keresztül terjed.

Leírás

A kártevő általában egy fertőzött Microsoft Word dokumentumon keresztül kerül a rendszerre, amelyben pl. a következő sérülékenységet használják ki:

• Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability (CVE-2012-0158)

A kártevő a következő könyvtárakat, fájlokat és registry bejegyzéseket hozza létre:

• %UserProfile%Application DataMicrosoftWindowsVDB0Wd7T
• %Windir%InstallDir
• %UserProfile%Application DataMicrosoftWindowsVDB0Wd7TVDB0Wd7T.dat
• %UserProfile%Application DataMicrosoftWindowsVDB0Wd7TVDB0Wd7T.nfo
• %UserProfile%Application DataMicrosoftWindowsVDB0Wd7TVDB0Wd7T.svr
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”HKLM” = “expand:”C:WINDOWSInstallDirServer.exe””
• HKEY_CURRENT_USERSoftwareVDB0Wd7T”ServerStarted” = “expand:”2/12/2014 7:23:32 AM””
• HKEY_CURRENT_USERSoftwareVDB0Wd7T”InstalledServer” = “expand:”C:WINDOWSInstallDirServer.exe””
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”HKCU” = “expand:”C:WINDOWSInstallDirServer.exe””

A következő tevékenységeket hajthatja végre:

• Listázza a megnyitott ablakokat és futó folyamatokat
• Elindít és leállít folyamatokat
• Módosít szolgáltatásokat
• Módosítja a Windows registry-t
• Fájlokat mozgat
• Billentyűleütéseket rögzít
• Aktiválja a webkamerát
• Információkat, jelszavakat gyűjt
• Távoli shell-t hoz létre
• Manipulálja a clipboard tartalmát

Támadás típusa

Szükséges hozzáférés

Hivatkozások

Egyéb referencia: www.symantec.com