Paxer.A trójai

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Microsoft Windows

Összefoglaló

A Paxer.A trójai készítői úgy határoztak, hogy egy olyan hálózati portot választanak a kártékony programjuk és a vezérlőszerverek közötti kommunikációhoz, amely a legtöbb rendszeren nem korlátozott. A trójai ennek megfelelően az 53 porton keresztül veszi fel a kapcsolatot a távoli kiszolgálójával, vagyis a DNS számára fenntartott porton keresztül végzi a tevékenységét.

A Paxer.A mindössze két állományt hoz létre a számítógépeken, majd a vezérlőszerveréről beszerzett konfigurációs adatok alapján folytatja a feladatainak végrehajtását. Egyrészt további kártékony programokat tölt le, illetve telepít fel, másrészt adatokat szivárogtat ki.

A trójaihoz tartozik egy olyan állomány is, amely szükség esetén képes eltávolítani a károkozót a fertőzött PC-kről.

Leírás

1. Létrehozza az alábbi állományokat: %APPDATA%Microsoftconhost.exe és %aktuális könyvtár%deleteme.bat
2. Ellenőrzi, hogy van-e élő internetkapcsolat.
3. Kapcsolódik egy távoli kiszolgálóhoz az 53-as porton keresztül.
4. Jelenti a fertőzés megtörténtét a terjesztői számára.
5. Konfigurációs adatokat tölt le.
6. További nemkívánatos programokat szerez be, illetve telepít fel.
7. Fogadja a támadók parancsait, amelyeket rögtön végrehajt.
8. Különféle adatokat, állományokat tölt fel a vezérlőszerverére.
9. A működése során több mutexet is létrehoz.

Támadás típusa

Szükséges hozzáférés

Hivatkozások

Egyéb referencia: isbk.hu