Összefoglaló
A Win32/Rootkit.BlackEnergy.AA trójai egy hátsó kaput aktivál, majd távoli hozzáférést tesz lehetővé.
A trójai legújabb (2014) változatai (Win32/Rootkit.BlackEnergy.BC) már képesek UNIX/LINUX/ARM alapú és ipari rendszerek megfertőzésére is, így a napokban nagy figyelmet fordítottak rá, mert veszélyes ún. Crimeware vált belőle.
Leírás
Mikor aktiválódik a trójai, létrehozza az alábbi állományokat:
- %system%drivers%randomstring%.sys
- %system%driversstr.sys
- %system%MAI1.tmp
Az alábbi regisztrációs bejegyzéseket hozza létre:
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices%randomstring%]
- “ImagePath” = “%system%drivers%randomstring%.sys”
- “DisplayName” = %randomstring%
- “Group” = “Boot Bus Extender”
- “Type” = 1
- “_MAIN” = “%system%MAI1.tmp”
- “RulesData” = %variable1%
- “krnl_sleepfreq” = %variable2%
- “krnl_servers_list” = %variable3%
Egy változó tartalmú kapakterlánc helyett használható a %randomstring%, %variable1-3% .
Egyéb információk:
A trójai adatokat és parancsokat fogad egy távoli számítógépről, vagy az internetről.
A trójai tartalmaz egy listát 3 db URL ről ami HTTP protokollt használ.
Ezekkel a következő tevékenységet képes elvégezni:
- DoS/DDoS támadásokat indíthatnak
- fájlokat tölt le egy távoli számítógépről vagy az internetről
- végrehajtaható fájlokat futtat
- megszüntethet futó folyamatokat
- különböző információkat küld a fertőzött számítógépről
- Újabb verzióra ferissíti magát
A következő programokat zárja be:
- avgchsvx.exe
- avgrsx.exe
- AVGIDSAgent.exe
- avgcsrvx.exe
- avgfrw.exe
- avgtray.exe
- AVGIDSMonitor.exe
- avgwdsvc.exe
- avgfws9.exe
- avgemc.exe
- avgam.exe
- avgnsx.exe
- avgcsrvx.exe
- avgui.exe
- avgnt.exe
- avfwsvc.exe
- avguard.exe
- avshadow.exe
- avmailc.exe
- avwebgrd.exe
- cmdagent.exe
- cfp.exe
- dwengine.exe
- spiderml.exe
- spidergate.exe
- spideragent.exe
- ekrn.exe
- egui.exe
- avp.exe
- McSvHost.exe
- mfevtps.exe
- mfefire.exe
- mcshield.exe
- mcagent.exe
- msseces.exe
- MsMpEng.exe
- ccSvcHst.exe
- RkUnhooker.exe
- RootRepeal.exe
- gmer.exe
- kl1.sys
- Normandy.sys
- greypill.sys
- gmer.sys
- rootrepeal.sys
A trójai az alábbi windows API-kel fonódik össze:
- NtQuerySystemInformation (ntdll.dll)
- NtOpenProcess (ntdll.dll)
- NtOpenThread (ntdll.dll)
- NtSuspendThread (ntdll.dll)
- NtTerminateThread (ntdll.dll)
- NtSetContextThread (ntdll.dll)
- NtOpenKey (ntdll.dll)
- NtEnumerateKey (ntdll.dll)
- NtEnumerateValueKey (ntdll.dll)
- NtSetValueKey (ntdll.dll)
- NtDeleteValueKey (ntdll.dll)
- NtQueryInformationThread (ntdll.dll)
- NtReadVirtualMemory (ntdll.dll)
- NtWriteVirtualMemory (ntdll.dll)
- NtProtectVirtualMemory (ntdll.dll)
- NtQueryDirectoryFile (ntdll.dll)
- NtShutdownSystem (ntdll.dll)
A trójai létrehoz és futtat új változatokat a saját program kódjából, az alábbi folyamatokban:
- svchost.exe
- explorer.exe
A programot alapvetően spam levelek küldésére használhatják.
Megoldás
Naprakész vírusírtó szoftver és tűzfal használata.
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Information disclosure (Információ/adat szivárgás)
Privilege escalation (jogosultság kiterjesztés)
System access (Rendszer hozzáférés)
Hatás
Unknown (Ismeretlen)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.virusradar.com
Gyártói referencia: www.virusradar.com
Egyéb referencia: securelist.com
Egyéb referencia: ics-cert.us-cert.gov
Egyéb referencia: arstechnica.com
Egyéb referencia: www.welivesecurity.com
Egyéb referencia: www.origo.hu
