Összefoglaló
A Paxer.A trójai készítői úgy határoztak, hogy egy olyan hálózati portot választanak a kártékony programjuk és a vezérlőszerverek közötti kommunikációhoz, amely a legtöbb rendszeren nem korlátozott. A trójai ennek megfelelően az 53 porton keresztül veszi fel a kapcsolatot a távoli kiszolgálójával, vagyis a DNS számára fenntartott porton keresztül végzi a tevékenységét.
A Paxer.A mindössze két állományt hoz létre a számítógépeken, majd a vezérlőszerveréről beszerzett konfigurációs adatok alapján folytatja a feladatainak végrehajtását. Egyrészt további kártékony programokat tölt le, illetve telepít fel, másrészt adatokat szivárogtat ki.
A trójaihoz tartozik egy olyan állomány is, amely szükség esetén képes eltávolítani a károkozót a fertőzött PC-kről.
Leírás
- Létrehozza az alábbi állományokat: %APPDATA%Microsoftconhost.exe és %aktuális könyvtár%deleteme.bat
- Ellenőrzi, hogy van-e élő internetkapcsolat.
- Kapcsolódik egy távoli kiszolgálóhoz az 53-as porton keresztül.
- Jelenti a fertőzés megtörténtét a terjesztői számára.
- Konfigurációs adatokat tölt le.
- További nemkívánatos programokat szerez be, illetve telepít fel.
- Fogadja a támadók parancsait, amelyeket rögtön végrehajt.
- Különféle adatokat, állományokat tölt fel a vezérlőszerverére.
- A működése során több mutexet is létrehoz.
Támadás típusa
TrójaiHatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu