Összefoglaló
Win32/Havex.B egy olyan trójai, ami széles körű funkciókkal rendelkezik, ennek következtében komolyabb károkozásokra alkalmas. A trójai folyamatosan kommunikál a vezérlőszerverével egy hátsó kapun keresztül. A következő utasításokat szerzi be a vezérlőszervertől:
- fájlok le- és feltöltése
- programok telepítése
- billentyűleütések naplózása
- bizalmas adatok összegyűjtése és kiszivárogtatása
- rendszerbeállítások módosítása
- fájlok törlése
- folyamatok indítása és leállítása.
A billentyűleütések folyamatos figyelésével főleg adatlopási képességét tudja kihasználni. Egyéb adatgyűjtési megoldásaival értékes információkkal halmozhatja el a terjesztőit.
Leírás
1. Létrehozza a következő állományt:
%System%svcprocess044.dll.
2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunsvcprocess=”rundll32 “c:windowssystem32svcprocess044.dll”, rundllentry”
3. Felmásolja a rendszerre a következő fájlt:
c:documents and settingsadministratorlocal settingstempqln.dbx
4. Megfertőzi az explorer.exe folyamatot.
5. Csatlakozik egy vezérlőszerverhez, és nyit egy hátsó kaput.
6. Végrehajtja a támadók által kijelölt feladatokat.
Megoldás
Windows Defender és a vírusírtók napra készen tartása
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.microsoft.com
