Összefoglaló
A Darksun.B trójai azon kártékony programok táborát gyarapítja, amelyek jogosulatlan távoli rendszerhozzáférésre adnak módot. Mindezt egy hátsó kapu létrehozásával biztosítja, amelyen keresztül megannyi parancs fogadására képes. Egyebek mellett az alábbi feladatok elvégzésére vehető rá:
- fájlműveletek
- szolgáltatásokkal kapcsolatos műveletek
- folyamatok leállítása, listázása
- fájlok le-, illetve feltöltése
- parancssorból kiadható parancsok futtatása.
A Darksun.B további kockázatos jellemzője, hogy képes adatlopáshoz is hozzájárulni. Ezt elsősorban a billentyűleütések folyamatos naplózásával, valamint képernyőképek rendszeres készítésével éri el. Az összegyűjtött adatokat pedig időközönként kiszivárogtatja a terjesztői számára.
Leírás
1. Létrehozza a következő állományokat:
%AllUsersProfile%[a trójai fájlneve].exe
%CurrentFolder%_temp.dat
2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”AudioClient” = “%AllUsersProfile%[a trójai fájlneve].exe”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Cliented” = “%AllUsersProfile%[a trójai fájlneve].exe”
3. Csatlakozik távoli szerverekhez.
4. Nyit egy hátsó kaput.
5. Folyamatosan naplózza a billentyűleütéseket az alábbi fájlba:
%CurrentFolder%_temp.dat
6. Várakozik a támadók parancsaira, amelyeket rögtön végrehajt.
7. Az összegyűjtött adatokat rendszeres időközönként kiszivárogtatja.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com