Összefoglaló
A Voldat trójai a Microsoft Management Console (MMC) összetevőjének adja ki magát, és ennek megfelelően egy MMC.exe nevű fájl formájában kerül fel a rendszerekre. Azonban nem a Windows rendszermappájába kerül be, hanem a Roaming könyvtárba, ami arról árulkodik, hogy nem az operációs rendszer eredeti állományáról van szó. A károkozó célja, hogy egy hátsókaput nyisson a számítógépeken, és elvégezze a számára kiadott feladatokat.
A Voldat egyebek mellett a következő tevékenységek végrehajtására alkalmas:
- fájlműveletek
- állományok letöltése
- a számítógép újraindítása
- a számítógép leállítása.
Leírás
1. Létrehozza a következő állományt:
%AppData%RoamingMicrosoftMMCMMC.exe
2. A regisztrációs adatbázist kiegészíti az alábbi értékkel:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”MMC” = “%AppData%RoamingMicrosoftMMCMMC.exe /s”
3. Csatlakozik egy távoli kiszolgálóhoz.
4. Nyit egy hátsó kaput.
5. Végrehajtja a támadók által kiadott parancsokat.
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se
- Használjon offline biztonsági mentést!
- Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE)
Támadás típusa
Information disclosure (Információ/adat szivárgás)Trójai
backdoor
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu