Összefoglaló
Az Azbot trójai egy régóta alkalmazott technikát használ fel arra, hogy kiszolgáltatottá tegye az általa megfertőzött számítógépeket. A károkozó ugyanis az IRC adta lehetőségek kiaknázása mellett nyit egy hátsó kaput, majd az így létrejövő “kommunikációs csatornán” keresztül fogadja a terjesztői által kiadott parancsokat.
Ezek a következők lehetnek:
– programok elindítása
– fájlműveletek
– a billentyűleütések naplózása
– IRC parancsok végrehajtása
– a trójai leállítása.
Az Azbot mindössze két fájlt hoz létre a Windows egyik rendszerkönyvtárában. Az egyik vga.exe néven kerül fel a számítógépre, míg a másik egy ActiveX vezérlőhöz tartozik. Ennek köszönhetően a trójai manuális eltávolítása sem különösebben nehéz feladat.
Leírás
1. Létrehozza a következő állományokat:
%System%/vga.exe
%System%/mswinsck.ocx
2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”VideoDriver” = “%SYSTEM%vga.exe”
3. Csatlakozik egy távoli kiszolgálóhoz a 7777-es porton keresztül.
4. Nyit egy hátsó kaput.
5. IRC-n keresztül fogadja a vírusterjesztők parancsait, amelyeket rögtön végre is hajt.
Támadás típusa
Information disclosure (Információ/adat szivárgás)System access (Rendszer hozzáférés)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: www.isbk.hu