Összefoglaló
A Trojan.Volgmer egy trójai típusú kártevő, amely hátsókaput nyit a megfertőzött számítógépen.
Leírás
A trójai az alábbi fájlokat hozza létre:
- %System%[RANDOM FILE NAME].dll
- %Temp%pdm.bat
Egy szolgáltatást hoz létre a következő tulajdonságokkal:
- Display Name: [RANDOM SERVICE NAME]
- Image Path: %System%svchost.exe -k LocalSystems
- Description: The [RANDOM SERVICE NAME] is an essential service for management of Windows System. If the service is stopped or disabled, Windows will be able to damaged seriously.
A [RANDOM SERVICE NAME]-ben a következő szavak szerepelhetnek:
- Application, Background, Control, Desktop, Extension, Function, Group, Host, Intelligent, Key, Layer, Multimedia, Network, Operation, Portable, Quality, Remote, Security, TCP/IP, User Profile, Volume, Windows, Device, Upd, Service, Management, Manager, Enum
Ezt követően a következő bejegyzéssel regisztrálja magát egy szolgáltatásként:
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[RANDOM FILE NAME]
Az alábbi registry bejegyzéseket hozza még létre:
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlWMISecurity”f0012345-2a9c-bdf8-345d-345d67b542a1″ = “[HEXADECIMAL VALUE]”
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlWMISecurity”125463f3-2a9c-bdf0-d890-5a98b08d8898″ = “[HEXADECIMAL VALUE]”
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_[RANDOM FILE NAME]�000″Service” = “[RANDOM FILE NAME]”
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_[RANDOM FILE NAME]�000″Legacy” = “1”
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_[RANDOM FILE NAME]�000″DeviceDesc” = “[RANDOM SERVICE NAME]”
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_[RANDOM FILE NAME]�000″ConfigFlags” = “0”
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_[RANDOM FILE NAME]�000″ClassGUID” = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_[RANDOM FILE NAME]�000″Class” = “LegacyDriver”
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_[RANDOM FILE NAME]”NextInstance” = “1”
Az alábbi IP címekhez próbál csatlakozni a 8080-as vagy a 8088-as porton:
- 113.28.244.194
- 116.48.145.179
- 186.116.9.20
- 193.28.91.232
- 199.15.234.120
- 200.42.69.133
- 220.128.131.251
- 24.242.176.130
- 78.93.190.70
- 89.190.188.42
A trójai hátsókaput nyit a fertőzött rendszeren, lehetővé téve a támadó számára, hogy a következő tevékenységeket végrehajtsa:
- Rendszerinformáció gyűjtése
- Fájlok letöltése és futtatása
- Fájlok feltöltése
Az alábbi rendsezrinformációkat gyűjti be:
- Számítógépnév
- IP cím
- Meghajtónév és sorozatszám
- Nyelvi beállítások
- TCP kapcsolat állapota
- Operációs rendszere verzió
- Folyamatok listája
Megoldás
Frissítse a víruskereső szoftver adatbázisát.
Támadás típusa
Unspecified (Nem részletezett)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: www.isbk.hu
