Összefoglaló
A Micrass.A trójai a számítógépeken nem okoz közvetlen károkat, ugyanakkor mégis képes megkönnyíteni a támadók dolgát. Mindezt azzal éri el, hogy a PC-ken lekérdezi a legfontosabb hálózati paramétereket. Így például az IP-címet, valamint a nyitott hálózati portokat is összegyűjti, majd az adatokat kiszivárogtatja a terjesztői számára.
A Micrass trójai két fájlt hoz létre a Windows Temp könyvtárába, majd gondoskodik arról, hogy a Windows újraindítása után is be tudjon töltődni a memóriába. Vagyis a felismeréséig és az eltávolításáig rendszeresen képes adatok kiszivárogtatására. Fontos jellemzője, hogy időnként frissíti a saját állományát, aminek következtében újabb funkciókkal gyarapodhat.
Leírás
1. Létrehozza a következő állományokat:
%TEMP%lsmass.exe
%TEMP%[véletlenszerű karakterek].exe
2. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszeren.
3. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunLSMASS=”[a trójai elérési útvonala és fájlneve]”
4. Interneten keresztül további kártékony programokat tölt le.
5. Frissíti a saját állományát.
6. Rendszerinformációkat gyűjt össze.
7. Küld egy POST kérést egy előre meghatározott távoli kiszolgáló felé.
Megoldás
Naprakész vírusírtó szoftver használata
Támadás típusa
Information disclosure (Információ/adat szivárgás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.microsoft.com