Összefoglaló
Az Avrecon trójai kifejezetten jogosulatlan rendszerhozzáférés biztosítására készült. Meglehetősen jól álcázza magát, mivel a Mozilla nevével él vissza. Emellett egy megtévesztő névű (svchoste.exe) fájl, illetve folyamat révén fut a háttérben.
Leírás
Az Avrecon egy távoli szerverhez való csatlakozás után rögtön kiépít egy olyan hátsó kaput, amin keresztül egyebek mellett további nemkívánatos állományok letöltésére utasítható. Emellett kockázatot jelent, hogy a trójai hatástalanítja a Windows tűzfalát, az UAC-ot (User Account Control) és kivételeket hoz létre a Windows Defenderben. Továbbá egyes biztonsági alkalmazásokat is képes leállítani.
Technikai részletek:
1. Létrehozza a következő mappát:
%AppData%Mozilla
2. Felmásolja a rendszerre az alábbi állományokat:
%AppData%Mozillasvchoste.exe
%AppData%svchoste.exe
3. Létrehoz egy mutexet, hogy egyszerre csak egy példányban fusson.
4. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion”wowsys64datecheck” = “1”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion”kereruthjertr456″ = “1”
5. Csatlakozik egy távoli vezérlőszerverhez.
6. Nyit egy hátsó kaput.
7. Várakozik a támadók parancsaira, amelyeket rögtön végrehajt.
Megoldás
- Használjon naprakész vírusírtót!
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket)!
- Használjon offline biztonsági mentést!
- Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE)
Támadás típusa
Information disclosure (Információ/adat szivárgás)Security bypass (Biztonsági szabályok megkerülése)
Trójai
backdoor
Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.symantec.com
Egyéb referencia: isbk.hu