A Volgmer trójai

CH azonosító

CH-11586

Angol cím

Trojan.Volgmer

Felfedezés dátuma

2014.08.19.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Trojan.Volgmer egy trójai típusú kártevő, amely hátsókaput nyit a megfertőzött számítógépen.

Leírás

A trójai az alábbi fájlokat hozza létre: 

  • %System%[RANDOM FILE NAME].dll
  • %Temp%pdm.bat

Egy szolgáltatást hoz létre a következő tulajdonságokkal: 

  • Display Name: [RANDOM SERVICE NAME]
  • Image Path: %System%svchost.exe -k LocalSystems
  • Description: The [RANDOM SERVICE NAME] is an essential service for management of Windows System. If the service is stopped or disabled, Windows will be able to damaged seriously.

A [RANDOM SERVICE NAME]-ben a következő szavak szerepelhetnek: 

  • Application, Background, Control, Desktop, Extension, Function, Group, Host, Intelligent, Key, Layer, Multimedia, Network, Operation, Portable, Quality, Remote, Security, TCP/IP, User Profile, Volume, Windows, Device, Upd, Service, Management, Manager, Enum

Ezt követően a következő bejegyzéssel regisztrálja magát egy szolgáltatásként:

  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[RANDOM FILE NAME] 

Az alábbi registry bejegyzéseket hozza még létre:

  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlWMISecurity”f0012345-2a9c-bdf8-345d-345d67b542a1″ = “[HEXADECIMAL VALUE]”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlWMISecurity”125463f3-2a9c-bdf0-d890-5a98b08d8898″ = “[HEXADECIMAL VALUE]”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_[RANDOM FILE NAME]000″Service” = “[RANDOM FILE NAME]”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_[RANDOM FILE NAME]000″Legacy” = “1”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_[RANDOM FILE NAME]000″DeviceDesc” = “[RANDOM SERVICE NAME]”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_[RANDOM FILE NAME]000″ConfigFlags” = “0”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_[RANDOM FILE NAME]000″ClassGUID” = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_[RANDOM FILE NAME]000″Class” = “LegacyDriver”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_[RANDOM FILE NAME]”NextInstance” = “1”

Az alábbi IP címekhez próbál csatlakozni a 8080-as vagy a 8088-as porton:

  • 113.28.244.194
  • 116.48.145.179
  • 186.116.9.20
  • 193.28.91.232
  • 199.15.234.120
  • 200.42.69.133
  • 220.128.131.251
  • 24.242.176.130
  • 78.93.190.70
  • 89.190.188.42

A trójai hátsókaput nyit a fertőzött rendszeren, lehetővé téve a támadó számára, hogy a következő tevékenységeket végrehajtsa:

  • Rendszerinformáció gyűjtése
  • Fájlok letöltése és futtatása
  • Fájlok feltöltése

Az alábbi rendsezrinformációkat gyűjti be:

  • Számítógépnév
  • IP cím
  • Meghajtónév és sorozatszám
  • Nyelvi beállítások
  • TCP kapcsolat állapota
  • Operációs rendszere verzió
  • Folyamatok listája

Megoldás

Frissítse a víruskereső szoftver adatbázisát.

Hivatkozások

Egyéb referencia: www.symantec.com
Egyéb referencia: www.isbk.hu