Összefoglaló
Az Upatre.AR trójai egy többfunkciós károkozó, amely az adattolvajok munkája mellett a vírusterjesztők dolgát is képes megkönnyíteni. Ennek oka, hogy olyan összetevőkkel rendelkezik, amelyek egyrészt alkalmassá teszik adatszivárogtatásra, másészt különféle fájlok internetről való letöltésére. Azt, hogy éppen milyen állományt, és ezáltal milyen nemkívánatos programot kell beszereznie, a terjesztői határozhatják meg.
Az Upatre.AR mindössze egy fájlt hoz létre a rendszereken, majd folyamatokat fertőz meg annak érdekében, hogy ezzel is kerülje a feltűnést. Ezt követően nyit egy hátsó kaput, és a vezérlőszerveréről lekérdezett információk alapján végrehajtja a számára kijelölt feladatokat.
Leírás
1. Létrehozza a következő állományokat:
%TEMP%ziuzy15.exe
2. Folyamatokat fertőz meg, és azok mögül végzi a feladatát.
3. Csatlakozik előre meghatározott távoli kiszolgálókhoz a 80-as vagy a 23575-ös TCP portokon keresztül.
4. Jelenti a fertőzés megtörténtét a terjesztői számára.
5. További ártalmas programokat tölt le, illetve telepít fel.
6. Konfigurációs adatokat tölt le.
7. Rendszerinformációkat szivárogtat ki.
8. Megpróbálja felderíteni, behatárolni a fertőzött PC fizikai helyét.
Megoldás
Használjon vírusvédelmi programot és tűzfalat, illetve rendszeresen frissítse azokat.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.microsoft.com