Összefoglaló
A Sofacy trójai mindent a háttérben végez, és a felderítésének, detektálásának megnehezítése érdekében egyetlen fájlt vagy bejegyzést sem hoz létre az áldozatául eső számítógépeken. Ez egyben azt is jelenti, hogy addig működőképes, amíg a felhasználó újra nem indítja a rendszert. Viszont az addig eltelő időben azért képes maradandó nyomokat hagyni, mivel különféle kártékony programokkal halmozza el a számítógépeket. Előre meghatározott kiszolgálókról tölti le az ártalmas programokat, amelyeket el is indít.
Leírás
A vírusterjesztők munkáját elősegítő Sofacy trójai rendszerinformációk kiszivárogtatására is alkalmas. Elsősorban a fertőzött számítógéppel kapcsolatos adatokat, paramétereket gyűjti össze, illetve pontosan feltérképezi, hogy az adott PC-n milyen alkalmazások futnak. Az összegyűjtött információkat feltölti a vezérlőszerverére, és ilyen módon a terjesztői pontos képet kaphatnak arról, hogy a nemkívánatos szerzeményük milyen rendszerekre került fel.
- Kapcsolódik egy előre meghatározott távoli vezérlőszerverhez.
- Lekérdezi a számítógép nevét.
- Lekérdezi az operációs rendszer legfontosabb paramétereit.
- Feltérképezi a folyamatokat és az éppen aktív alkalmazásokat.
- Az összegyűjtött információkat feltölti a vezérlőszerverére.
- Kártékony programokat tölt le az internetről.
- A letöltött programokat elindítja.
Megoldás
Használjon offline kártevő eltávolítót.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.fireeye.com
Egyéb referencia: pwc.blogs.com
Egyéb referencia: www.symantec.com
Egyéb referencia: www.isbk.hu