Összefoglaló
A Salgorea trójai legfontosabb jellemzője, hogy a Mac OS X alapú számítógépekkel kompatibilis. Amikor felkerül egy ilyen rendszerre, és azon – felhasználói közreműködéssel – elindul, akkor egy hátsó kaput nyit, miközben a vezérlőszerverével a 443-as porton keresztül kommunikál.
A Salgorea távolról egyebek mellett a következő feladatok végrehajtására utasítható:
– folyamatok létrehozása, leállítása
– fájlműveletek
– a fájlrendszer feltérképezése
– képernyőképek készítése
– a legutóbb megnyitott dokumentumok lekérdezése.
A Salgorea képes olyan rendszermódosítások elvégzésére, amelyek révén a számítógép újraindítása után is be tud töltődni.
Leírás
1. Létrehozza a következő állományokat:
/Library/Logs/.Logs/corevideosd
~/Library/Logs/.Logs/corevideosd
2. Manipulálja az alábbi fájlokat, és eléri, hogy a számítógép minden újraindításakor be tudjon töltődni:
/Library/LaunchAgents/com.google.plugins.plist
~/Library/LaunchAgents/com.google.plugins.plist
3. Kapcsolódik távoli kiszolgálókhoz a 443-as TCP porton keresztül.
4. Nyit egy hátsó kaput.
5. Végrehajtja a támadók által kiadott parancsokat.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Trójai
backdoor
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu