Összefoglaló
A Kwampirs trójai egyedi megoldással komunikál a vezérlőszerverekkel.
Leírás
A káros kód egy hátsó kaput hoz létre az általa megfertőzött rendszereken. Ezt azonban nem teljesen szokványos módon valósítja meg, ugyanis a vezérlőszerverével URL-ek segítségével kommunikál. A terjesztői az URL-ekbe kódolt formában helyezhetik el a parancsokat (illetve a shellcode-okat), amelyeket a károkozó dekódol, majd végrehajt.
A Kwampirs trójai további fontos jellemzője, hogy fájlokat is képes letölteni. Mindezt titkosított módon teszi meg annak érdekében, hogy a rendszerekre feljuttatandó további kártevőket minél nehezebb legyen kiszűrni a hálózati adatforgalom vizsgálatával.
Technikai részletek:
1. Létrehozza az alábbi állományokat:
- %Windir%infmtmndkb32.PNF
- %Windir%infdigirps.PNF
- %Windir%infmkdiawb3.PNF
- %Windir%infie11.PNF
- %Temp%[véletlenszerű karakterek].tmp
- %Windir%System32[véletlenszerű karakterek].dll
2. Létrehoz egy WMI Performance Adapter Extension nevű Windows-os szolgáltatást.
3. Csatlakozik egy távoli vezérlőszerverhez egy URL-lista alapján.
4. Nyit egy hátsó kaput.
5. Titkosított fájlokat tölt le interneten keresztül.
6. URL-eken keresztül parancsokat fogad, amelyeket rögtön végrehajt.
Támadás típusa
Trójaibackdoor
Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com