Összefoglaló
A Weecnaw trójai alapvetően két fontosabb modulból épül fel. Az egyik adatlopásért felel, míg a másik hátsó kaput létesít a számítógépeken. Ennek megfelelően a károkozó számos problémát idézhet elő, amelyek közül a legkockázatosabb, hogy teljes mértékben képes kiszolgáltatottá tenni az áldozatául eső PC-ket a külső támadásokkal szemben.
Leírás
Távolról vezérelhető módon a terjesztői egyebek mellett a következő feladatok elvégzésére utasíthatják:
- fájlrendszer tallózása
- fájlok letöltése és futtatása
- folyamatok kezelése
- parancssoros ablak elérése
- billentyűleütések naplózása
- a trójai eltávolítása.
A Weecnaw elsősorban rendszerinformációk után kémkedik, de nem veti meg a postafiókokkal és a különféle online szolgáltatásokkal kapcsolatos hitelesítő adatokat sem. Így például a Windows Live fiókokhoz tartozó azonosítókat is bezsebeli.
1. Létrehozza a következő állományokat:
%UserProfile%Application Datapuushpuush.daemon.exe
%UserProfile%Application Datapuush.Identifier
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”puush daemon” = “%UserProfile%Application Datapuushpuush.daemon.exe”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components[véletlenszerű karakterek]”StubPath” = “%UserProfile%Application Datapuushpuush.daemon.exe”
3. Csatlakozik egy távoli kiszolgálóhoz a 42069-es TCP porton keresztül.
4. Fogadja a támadók parancsait, amelyeket rögtön végrehajt.
5. Összegyűjti az alábbi információkat:
- az operációs rendszer és a számítógép legfontosabb paraméterei
- felhasználói fiókok
- böngészési előzmények
- postafiókadatok
- Pidgin és Windows Live hozzáférési adatok
6. Az összegyűjtött adatokat kiszivárogtatja.
Megoldás
Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
Támadás típusa
Information disclosure (Információ/adat szivárgás)backdoor