Összefoglaló
Az Anuna trójai webes állományok megfertőzésére specializálódott. A jelenlegi variánsa kifejezetten PHP-kódokkal történő manipulációkra alkalmas. Ha a kártékony kód rákerül egy szerverre, azon feltérképezi a fájlrendszert, majd egy távoli szerverről beszerzi azokat kódokat, amikkel meg kell fertőznie a rendszert. Amennyiben a felhasználó egy manipulált, PHP-s oldalt tölt le, akkor a számítógépe rögtön megfertőződhet.
Az Anuna gondosan ügyel arra, hogy a jelenléte egyebek mellett a webes keresők esetében se keltsen feltűnést. Így amikor egy kompromittált weboldalt például a Google keresőrobotja pásztázz, akkor nem aktivizálódik. Emellett a szerzemény az “admin” oldalakat sem módosítja, hogy ezzel is megnehezítse a felismerését.
Az Anuna eddig leginkább WordPress alapú webhelyeket ostromolt.
Leírás
1. Kapcsolódik egy távoli vezérlőszerverhez.
2. Letölti a fertőzéshez szükséges kódokat.
3. Amennyiben a User Agent feldolgozásakor az alábbi kifejezéseket észleli, akkor nem aktivizálódik:
google
slurp
msnbot
ia_archiver
yandex
rambler
4. Az “admin” kifejezést tartalmazó fájlokat érintetlenül hagyja.
5. Kiszivárogtatja az alábbi információkat:
– User Agent
– HTTPS referrer
– HTTP host
– IP-címek.
6. Amennyiben a felhasználó meglátogat egy fertőzött fájlt, akkor kártékony kódok kerülhetnek fel a számítógépére.
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se
- Használjon offline biztonsági mentést!
Támadás típusa
Information disclosure (Információ/adat szivárgás)Trójai
execute code
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu