Összefoglaló
A Chilurat egy olyan trójai mely hátsó kaput nyit, információkat lop, és további kártékony alklamazásokat tölt le a fertőzött rendszerre.
Leírás
Aktiválódás után létrehozza az alábbi állományokat:
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWMICacheEvents
“DisplayName”=”WMICacheEvents Modules Service” - HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWMICacheEvents
“Description”=”WMICache information from Windows Management file” - HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWMICacheEvents
“ImagePath”=%SystemDrive%system32svchost.exe -k XLServant - HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWMICacheEventsParameters
“ServiceDll”=%AllUsersProfile%WEventsCacheshell.dll - HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWMICacheEventsParameters
“ServiceMain”=”Main”
Hátsó kaput nyit, majd kapcsolódik az alábbi kiszolgálóhoz a TCP 25-ös porton keresztül: computer.security-centers.com
Az alábbiakat képes elvégezni:
- Az elérhető meghajtók listázása
- Mappák listázása
- Állományok listázása
- Fájlok letöltése
- Fájlok feltöltése
- Fájlok futtatása
- Fájlok törlése
- cmd shell létrehozása
- Felhasználói lista megszerzése
- Önmaga törlése
Az alábbi információkat lopja el:
- Számítógép neve
- IP címe
- OS információi
- Telepítés ideje
- CPU száma
- CPU sebessége
- A jelenlegi felhasználó jogosultsága
Megoldás
- Használjon naprakész vírusítró szoftvert.
- Bizonyosodjon meg róla, hogy a programjai a lehető legkisebb jogosultsági szinten futnak.
Támadás típusa
TrójaiHatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com