Összefoglaló
A Faedevour trójai a fertőzött számítógépeken egy hátsó kaput nyit és az ott található információkat megpróbálja eltulajdonítani.
A trójai terjedése a megosztott erőforrások és hordozható eszközök segítségével történik.
Leírás
1.Az alábbi fájlokat hozza létre:
%Temp%wtmps.exe
%UserProfile%Application DataMicrosoftDefenderlaunch.exe
%UserProfile%Application DataMicrosoftCachesFilesusd.dll
%UserProfile%Application DataMicrosoftRepairssha.dll
%UserProfile%Application DataMicrosoftSharedModulesfil.dll
%UserProfile%Application DataMicrosoftCommonShareddis.dll
%UserProfile%Application DataMicrosoftWindowsAddinsatt.dll
%UserProfile%Application DataMicrosoftIdentities[USER NAME]arc.dll
2.Az alábbi rendszerleírő bejegyzést futatja a Windows minden egyes indításakkor:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
“Windows Defender Extension” = “%UserProfile%Application DataMicrosoftDefenderlaunch.exe”
3.Ezt követően ellopja a fertőzött számítógépről az alábbi információkat:
Computer name
User name
Operating system language
MAC address
IP address
4.Majd megpróbál csatlakozni:
a.gwas.perl.sh
a-gwas-01.slyip.net
a-gwas-01.dyndns.org
5.A trójai a következő műveleteket tudja elvégezni:
List running processes
Take screenshots
Download files
Send files to the attacker
List the directory
Collect information
Run the command prompt
Megoldás
Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com