Összefoglaló
A Redsip egy klasszikus, hátsó kapu kiépítésére alkalmas trójai programnak tekinthető. Mind a működése, mind a felépítése egyszerű. Ennek ellenére nem célszerű lebecsülni, ugyanis minden feltünés nélkül képes kiszolgáltatottá tenni az általa megfertőzött rendszereket. A hátsó kapun keresztül távolról vezérelhető, és vírusterjesztési célokra is hadra fogható. Ez esetben a károkozó interneten keresztül szerzi be azokat a nemkívánatos programokat, amelyekkel el kell halmoznia a térdre kényszerített PC-ket.
A Redsip egy Adobe alkalmazásnak álcázza magát, és azt próbálja elhitetni a felhasználóval, hogy a jól ismert szoftvercég alkalmazásáról van szó. A valóságban azonban csak a fájlnevével trükközik.
Leírás
1. Létrehozza a következő állományokat:
%AllUsersProfile%updataAdobeTray.exe
%AllUsersProfile%updataMcUtil.dll
%AllUsersProfile%updataserver.db
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”updata” = “%AllUsersProfile%updata\ADOBET~1.EXE”
HKEY_CURRENT_USERSoftwareXXZH”load_path” = “[a trójai elérési útvonala]”
HKEY_CURRENT_USERSoftwareXXZH”key” = “[véletlenszerű karakterek]”
3. Csatlakozik egy távoli kiszolgálóhoz.
4. Nyit egy hátsó kaput.
5. Végrehajtja a számára kiadott parancsokat.
6. Esetenként további ártalmas programokat tölt le, illetve telepít fel.
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket).
- Használjon offline biztonsági mentést.
- Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool
Támadás típusa
TrójaiHatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu