Összefoglaló
A Zegost.AD trójai alapvetően egy hátsó kapu kiépítéséből veszi ki a részét, de szükség esetén adatlopástól sem riad vissza. Ennek ellenére a többfunkciós károkozó viszonylag egyszerű felépítésű. Mindössze két állományt hoz létre a fertőzött rendszereken.
Leírás
Az egyiket egy megtévesztő névvel (“mcafe”) ellátott mappába másolja be azt a látszatot keltve, hogy az állománya a jól ismert biztonsági cégtől származik. A valóságban azonban ebből semmi sem igaz.
A Zegost.AD a vezérlőszerverével a 80-as TCP porton keresztül kommunikál, vagyis megpróbál a legális hálózati adatforgalomba elrejtőzni, és ilyen módon kerülni a feltűnést. A kiszolgálóról egy konfigurációs állományt tölt le, amely a további működéséhez szükséges információkat tartalmazza.
Technikai részletek
1. Létrehozza a következő állományokat:
- %TEMP%content.ie5sbyfgraftrue[1].love
- %System%mcafefydx.qrt
2. További kártékony programokat tölt le, illetve telepít fel.
3. Csatlakozik egy távoli kiszolgálóhoz a 80-as TCP porton keresztül.
4. Konfigurációs adatokat tölt le.
5. Egy hátsó kaput létesít.
6. Behatárolja a PC fizikai helyét.
Megoldás
Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
Támadás típusa
backdoorHatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.microsoft.com
Egyéb referencia: isbk.hu