Összefoglaló
A Zekapab trójai egy hátsó kaput nyit a fertőzött rendszeren, amin keresztül adatokat szivárogtat, illetve lehetőséget adhat további káros összetevők letöltésére.
Leírás
Futáskor létrehozza az alábbi fájlokat:
- %AppData%MicrosoftNetworkHTML Helpsrvsmcl.exe
- %Temp%dbase.exe
- %AppData%MicrosoftNetworkSupportAssistansesrvsml.exe
- %Temp%srvmcc.exe
- %AppData%MicrosoftNetworkHTML Helpsrvsml.exe
- %AppData%MicrosoftNetworkConnectionsCertificatesrvscc.exe
- %Temp%_GUpdater.exe
Valamint az alábbi registry bejegyzéseket:
- HKEY_CURRENT_USERSoftwareMicrosoftDrivers”DriverID” = “110011”
- HKEY_CURRENT_USERSoftwareMicrosoftConnect”Software” = “11110111”
- HKEY_CURRENT_USERSoftwareMicrosoftActiveAssistance”Software” = “110101”
- HKEY_CURRENT_USERSoftwareMicrosoftConnect”Software” = “11110111”
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”MSCertificates” = “%Temp%dbase.exe”
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”ThemeManager” = “%Temp%_GUpdater.exe”
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”MSCertificates” = “%Temp%srvmcc.exe”
Az alábbi process-ek detektálása esetén felfüggeszti a működését:
- vmacthlp.exe
- vmtoolsd.exe
- VBoxTray.exe
- VBoxService.exe
- prl_cc.exe
- prl_tools.exe
- SharedIntApp.exe
- vmusrvc.exe
- vmsrvc.exe
Ezt követően további összetevőket tölt le az alábbi távoli helyek valamelyikéről:
- 46.183.217.69/ZenKapabilityCompanyA835/Check^Certificate774^forUpdater0$/signature372-9932.php
- 46.183.217.69/ZenKapabilityCompanyA835/Check^Certificate774^forUpdater0$/signature372-9932.php
- 46.183.217.69/ZenKapabilityCompanyA835/Check^Certificate774^forUpdater0$/signature372-9932.php
- 80.255.6.5/LoG-statistic_save_audater1134-15/date-update9048353094c/DbaseUpdaterLog883529-11623.php
- 80.255.6.5/LoG-statistic8397420934809/date-update9048353094c/StaticIpUpdateLog23741033.php
- 80.255.6.5/LoG-statistic8399872490934809/date-update9048353094c/DbaseUpdaterLog77720817-01.php
- [http://]46.183.217.69/MSSQL-certificate-update-cheker/dat^^e007dbase-26/check-up[REMOVED]
- [http://]46.183.217.69/MSSQL-certificate-update-cheker/dat^^e007dbase-26/check-up[REMOVED]
- [http://]46.183.217.69/World_update_crt_cheker_new_database27843/date007dbase-1221/check-base-up[REMOVED]
- [http://]80.255.6.5/daily-update-certifaicates52735462534234/update[REMOVED]
- [http://]80.255.6.5/daily-update-certificatedkj87654432/snmp-113[REMOVED]
- [http://]80.255.6.5/daily-update-servicedbase-3321/services-dbase1701[REMOVED]
- [http://]80.255.6.5/M^S-fsecur1e-service-6643/updateA-checkA-[REMOVED]
- [http://]93.115.38.132/KiiOppSAXCSaqwe/srvss[REMOVED]
- [http://]93.115.38.132/SmRQZPYxAR/srvss[REMOVED]
A letöltött file-t az alábbi helyekre menti:
- %AppData%MicrosoftNetworkHTML Helpsrvsmcl.exe
- %Temp%dbase.exe
- %AppData%MicrosoftNetworkSupportAssistansesrvsml.exe
- %Temp%srvmcc.exe
- %AppData%MicrosoftNetworkHTML Helpsrvsml.exe
- %AppData%MicrosoftNetworkConnectionsCertificatesrvscc.exe
- %Temp%_GUpdater.exe
Majd hozzá kezd az információgyűjtéshez, amelynek eredményét továbbítja a vezérlőszerver felé. Az alábbiakat gyűjti:
- Process-ek listája
- Telepített alkalmazások listája.
Megoldás
- Használjon naprakész vírusírtó szoftvert.
- A Norton Power Eraser (NPE) felismeri és képes eltávolítani a kártevőt.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Trójai
backdoor
execute code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com