Összefoglaló
A Xiazai trójai elnevezésű káros kód vált ismertté, amely segítségével a vírus terjesztői a felhasználó számítógépén nyitott, hátsó kapun keresztül jogosulatlanul férhetnek hozzá a fertőzött rendszer erőforrásaihoz, illetve tetszőleges műveletek végrehajtására adhatnak utasítást.
Leírás
A Xiazai trójai forrása a desklnk elnevezésű mappába kerül és nemkívánatos tevékenységének leplezése érdekében jól ismert folyamatokat fertőz meg (ennek köszönhetően például a Feladatkezelőben is nehéz detektálni a jelenlétét). A trójai legszembetűnőbb ismertetőjegye, hogy lecseréli az Internet Explorer kezdőoldalát, emellett további nemkívánatos programok letöltését is elősegítheti, esetenként akár adatszivárogtatáshoz is hozzájárulhat.
Technikai részletek:
1. Létrehozza a következő állományokat:
%APPDATA%desklnkcontroller32.exe
%APPDATA%desklnkdateanimationicon32.dll
%APPDATA%desklnkrililnkex32.dll
2. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKLMSoftwareClassesCLSID{350F098C-C09F-40F5-8761-3959CA346EDA}InprocServer32(default)=”%APPDATA%desklnkrililnkex32.dll”
HKLMSoftwareClassesCLSID{350F098C-C09F-40F5-8761-3959CA346EDA}InprocServer32ThreadingModel=”apartment”
HKLMSoftwareClassesRiliLnkEx.RiLiLnkExt.1CLSID(default)=”{350f098c-c09f-40f5-8761-3959ca346eda}”
HKLMSoftwareClassesRiliLnkEx.RiLiLnkExtCLSID(default)=”{350f098c-c09f-40f5-8761-3959ca346eda}”
HKLMSoftwareClassesTypeLib{D2B48D19-078D-451B-9EBC-788B43AF427B}1.0�win32(default)=”%APPDATA%desklnkrililnkex32.dll”
3. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszeren.
4. Különféle folyamatokat fertőz meg.
5. Megváltoztatja az Internet Explorer kezdőoldalát.
6. Kapcsolódik egy távoli vezérlőszerverhez.
7. Nyit egy hátsó kaput.
8. Végrehajtja a támadók utasításait.
Támadás típusa
TrójaiHatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.sophos.com