Összefoglaló
A TektonIt trójai klasszikus kémkedési eljárásokat használ ahhoz, hogy a terjesztőit minél több bizalmas adattal, információval tudja ellátni. A fertőzött számítógépeken folyamatosan naplózza a billentyűleütéseket, és rendszeres időközönként képernyőképeket ment le. Amikor elegendő adat áll rendelkezésére, akkor az összegyűjtött információkat, képállományokat feltölti a vezérlőszerverére.
A TektonIt alapvetően úgy próbálja magát álcázni, hogy látszólag Windows-hoz tartózó fájlokat másol fel a rendszerre. Azonban ezt követően is folytatja a rejtőzködést, hiszen különböző folyamatokat fertőz meg, és azok mögül végzi a feladatát. Eközben pedig folyamatosan kommunikál a vezérlőszerverével.
Leírás
1. Létrehozza a következő állományokat:
%APPDATA%windowscontroldata.exe
%APPDATA%windowscontrolinstall.bat
%APPDATA%windowscontrolrfusclient.exe
%APPDATA%windowscontrolrun.exe
%APPDATA%windowscontrolrutserv.exe
%APPDATA%windowscontrolvp8decoder.dll
%APPDATA%windowscontrolvp8encoder.dll
%TEMP%7e04.tmprun.bat
2. Különféle folyamatokat fertőz meg.
3. Ellenőrzi, hogy van-e élő internetkapcsolat.
4. Csatlakozik egy távoli vezérlőszerverhez.
5. Jelenti a fertőzés megtörténtét.
6. Parancsokat fogad a vezérlőszerveréről.
7. Folyamatosan naplózza a billentyűleütéseket.
8. Rendszeresen képernyőképeket ment le.
9. Az összegyűjtött adatokat, fájlokat feltölti a kiszolgálójára.
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
- Használjon offline biztonsági mentést!
- Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Trójai
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.microsoft.com
Egyéb referencia: isbk.hu
