Összefoglaló
A Backdoor.Lapadin egy trójai típusú kártevő, amely hátsókaput nyit a megfertőzött számítógépen.
Leírás
Az alábbi registry bejegyzésben szereplő service nevek valamelyikét használja a saját fájljaihoz és registry bejegyzéseihez:
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchostnetsvcs
A következő fájlokat hozza létre:
- %System%[SERVICE NAME]ex.dll
- %System%install.tmp
A %System%[SERVICE NAME]ex.dll-t felveszi service-ként.
Az alábbi registry bejegyzéseket hozza létre:
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[SERVICE NAME]”DisplayName” = “[SERVICE NAME]”
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[SERVICE NAME]Parameters”ServiceDll” = “%System%[SERVICE NAME]ex.dll”
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIas”Description” = “Manages audio devices for Windows-based programs. If this service is stopped, audio devices and effects will not function properly. If this service is disabled, any services that explicitly depend on it will fail to start.”
A következő helyekhez próbál csatlakozni:
- technology.trendmicro.org.tw
- ey.avstore.com.tw
- chanxe.avstore.com.tw
- jackyandy.avstore.com.tw
- newb02.skypetm.com.tw
Az alábbi tevékenységeket hajthatja végre:
- Távoli shell-t hoz létre
- Letiltja az egeret és a billentyűzetet
- Egér és billentyűzet interakciót szimulál
- Vágólap adatokat gyűjt be és cserél le
- A helyi meghajtók méreteit és szabad területét jegyzi fel
- A fertőzött gép processzorának sebességét feljegyzi
- A webkamera meghajtójának verzióját feljegyzi
- További fájlokat tölt le, illtve fel
- Fájlokat töröl, mozgat, illetve keres
- Az operációs rendszer eseménynaplóját törli
- Könyvtárakat töröl
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
