Összefoglaló
A Destfallen trójai – megfelelő biztonsági mentések hiányában – helyreállíthatatlan károkat okozhat a fertőzött rendszereken. Ennek oka, hogy ha a rendszerdátum 2014. december 10. utánra mutat, akkor nekilát gyakran használt fájlok felülírásának. Vagyis az állományokat nem hagyományos törléssel kompromittálja, ami a helyreállítást nagyon megnehezítheti, vagy akár lehetetlenné teheti. A trójai futtatható fájlokat, dokumentumokat (.doc, .pdf) és tömörített állományokat is használhatatlanná tesz.
Leírás
A trójai egy megtévesztő névvel ellátott Windows-os szolgáltatást hoz létre, és annak felhasználásával, a háttérben végzi el a károkozásait. Eközben pedig az MBR-t (Master Boot Record) is manipulálja, ami az operációs rendszer betöltését is kedvezőtlenül érintheti.
1. Létrehozza a következő állományokat:
%Temp%XmlLite.dll
%Temp%wsss.dll
2. Létrehoz egy másolatot a WordPad-ból:
%Temp%Wordpad.exe
3. A Windows rendszerkönyvtárába bemásolja az alábbi fájlokat:
%System%bddsvc.dll
%System%iconsvc.dll
%System%ehressvc.dll
%System%netstsvc.dll
%System%pnas.dll
%System%pnrpmchname.dll
%System%pwpsvc.dll
%System%pcssvc.dll
%System%rregconf.dll
%System%scardmngsvc.dll
%System%tcpmsvc.dll
%System%tschmng.dll
%System%mmthread.dll
%System%wcmngsvc.dll
%System%coladj.dll
%System%wndmodmng.dll
%System%timesyncsvc.dll
%System%wiredconfsvc.dll
%System%wlanconf.dll
%System%wstmng.dll
4. Létrehoz egy Windows-os szolgáltatást, amelynek nevét az alábbi listából választja ki:
BitLocker Drive Decryption Service
Internet Connection Service
Media Center Service
Network Storage Service
Peer Networking Address
PNRP Machine Name
Power Policy
Program Compatibility Service
Remote Registry Configuration
Smart Card Management Service
Tablet PC Management Service
Task Schedule Manager
Thread Ordering Service
WebClient Manage Service
Windows Color Adjustment
Windows Modules Management
Windows Time Synchronization
Wired Config Service
WLAN Config Service
Workstation management
5. Felmásolja a rendszerre a következő fájlokat:
%Temp%Wordpad.exe
%Temp%XmlLite.dll
%Temp%wsss.dll
6. Amennyiben a rendszerdátum 2014. december 10. utáni napot mutat, akkor felülírja az alábbi kiterjesztésekkel rendelkező állományokat a helyi és a cserélhető adattárolókon is:
.hwp
.doc
.pdf
.docx
.alz
.zip
.rar
.egg
.iso
.exe
.dll
.sys
7. Manipulálja az MBR-t (Master Boot Record)
8. A számítógép újraindítása után megjelenít egy ablakot a következő üzenettel:
“Who am I?”
Megoldás
Vírusirtó segítségével távolítsa el a fertőzést.
Támadás típusa
Manipulation of dataHatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.isbk.hu
