Azbot trójai

CH azonosító

CH-11865

Angol cím

Backdoor.IRC.Azbot

Felfedezés dátuma

2014.12.10.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7
Windows Vista
Windows XP

Érintett verziók

Microsoft

Összefoglaló

Az Azbot trójai egy régóta alkalmazott technikát használ fel arra, hogy kiszolgáltatottá tegye az általa megfertőzött számítógépeket. A károkozó ugyanis az IRC adta lehetőségek kiaknázása mellett nyit egy hátsó kaput, majd az így létrejövő “kommunikációs csatornán” keresztül fogadja a terjesztői által kiadott parancsokat.

Ezek a következők lehetnek:
– programok elindítása
– fájlműveletek
– a billentyűleütések naplózása
– IRC parancsok végrehajtása
– a trójai leállítása.

Az Azbot mindössze két fájlt hoz létre a Windows egyik rendszerkönyvtárában. Az egyik vga.exe néven kerül fel a számítógépre, míg a másik egy ActiveX vezérlőhöz tartozik. Ennek köszönhetően a trójai manuális eltávolítása sem különösebben nehéz feladat.

Leírás

1. Létrehozza a következő állományokat:
%System%/vga.exe
%System%/mswinsck.ocx
2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”VideoDriver” = “%SYSTEM%vga.exe”
3. Csatlakozik egy távoli kiszolgálóhoz a 7777-es porton keresztül.
4. Nyit egy hátsó kaput.
5. IRC-n keresztül fogadja a vírusterjesztők parancsait, amelyeket rögtön végre is hajt.