Összefoglaló
A Wensal trójai egy Windows-os sebezhetőséget használ ki a fertőzés során. Ezt a hibát a Microsoft már 2012-ben kijavította az MS12-027-es biztonsági közleményének keretében. Ezért leginkább azok a számítógépek veszélyeztetettek, amelyek nem tartalmazzák a biztonsági frissítéseket.
A Wensal két komponensből épül fel. Az egyik egy hátsó kaput nyit a számítógépeken, és rendszerinformációkat szivárogtat ki. A másik összetevő pedig további kártékony programok PC-kre való feljuttatását teszi lehetővé, vagyis a vírusterjesztők dolgát igyekszik megkönnyíteni.
A Wensal jelenlegi variánsa a felhasználók bizalmas adatait nem fürkészi ki, elsősorban a számítógéppel és az operációs rendszerrel kapcsolatos adatokat, paramétereket juttatja el a készítőihez.
Leírás
1. Létrehozza a következő állományt:
%Temp%smsss.exe
%Temp%M.T
%Temp%M.B
2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun”smsss” = “%Temp%smsss.exe”
3. Csatlakozik egy távoli kiszolgálóhoz. Ehhez az 53-as portot is felhasználja.
4. Kiszivárogtatja az alábbi információkat:
– az operációs rendszer verziója
– a számítógép neve
– felhasználónév
– hálózati paraméterek
– egyéb hardveradatok.
5. Fájlokat tölt le, illetve futtat.
6. Különféle állományokat tölt fel a vezérlőszerverére.
7. További kártékony programokat telepít fel.
Megoldás
Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
System access (Rendszer hozzáférés)
backdoor
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com