Összefoglaló
A Backdoor.Fulario egy trójai program, ami hátsó kaput nyit a fertőzött számítógépen. Ezen felül információkat lop és további állományokat tölt le.
Leírás
Amikor a trójai aktiválódik, létrehoz egy másolatot az alábbi helyen: %Temp% CacheClean.exe
Létrehozza a következő betöltési pontot: C:Documents and SettingsAll UsersStart MenuProgramsStartupAntiVir_Update.URL
Megjegyzés: Ez a parancsikon %Temp% CacheClean.exe.-re mutat.
A trójai látrehozza a következő állományt ami tartalmazza a futó folyamatokat: %Temp% ~Pro75C.DAT
Hátsó kaput nyit, és csatlakozni próbál egy kiszolgálóhoz az alábbiak közül:
- [http://]23.245.228.128/jod/updat[REMOVED]
- [http://]23.245.228.128/jod/info[REMOVED]
- [http://]23.245.228.128/jod/info[REMOVED]
- [http://]198.74.114.239/ys/info[REMOVED]
- [http://]www.systeminfo.comule.com/sat/com[REMOVED]
- [http://]www.systeminfo.comule.com/sat/inde[REMOVED]
- [http://]198.55.103.148/kkd/updat[REMOVED]
- [http://]198.55.103.148/kkd/info[REMOVED]
- [http://]198.55.103.148/kkd/info[REMOVED]
A következőkat próbálja megtenni:
- Letölt és futtat távoli állományokat
- Végrehajt parancssori utasításokat
- Összegyűjti a futó folyamatokat egy állományba (%Temp% ~Pro75C.DAT)
- Elküldi ezeket egy kiszolgálónak
- Megállapítja hogy a fertőzött számítógép proxy-n keresztül kommunikál-e
- Elküldi a proxy címet a kiszolgálónak
- Ellenőrzi néhány állomány jelenlétét a fertőzött számítógépen
Támadás típusa
Information disclosure (Információ/adat szivárgás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.symantec.com