Backdoor.Fulario

CH azonosító

CH-11332

Angol cím

Backdoor.Fulario

Felfedezés dátuma

2014.06.08.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000, Windows 7, Windows NT, Windows Vista, Windows XP

Összefoglaló

Backdoor.Fulario egy trójai program, ami hátsó kaput nyit a fertőzött számítógépen. Ezen felül információkat lop és további állományokat tölt le.

Leírás

Amikor a trójai aktiválódik, létrehoz egy másolatot az alábbi helyen: %Temp% CacheClean.exe 

Létrehozza a következő betöltési pontot: C:Documents and SettingsAll UsersStart MenuProgramsStartupAntiVir_Update.URL 

Megjegyzés: Ez a parancsikon  %Temp% CacheClean.exe.-re mutat.

A trójai látrehozza a következő állományt ami tartalmazza a futó folyamatokat: %Temp% ~Pro75C.DAT 

Hátsó kaput nyit, és csatlakozni próbál egy kiszolgálóhoz az alábbiak közül:

  • [http://]23.245.228.128/jod/updat[REMOVED]
  • [http://]23.245.228.128/jod/info[REMOVED]
  • [http://]23.245.228.128/jod/info[REMOVED]
  • [http://]198.74.114.239/ys/info[REMOVED]
  • [http://]www.systeminfo.comule.com/sat/com[REMOVED]
  • [http://]www.systeminfo.comule.com/sat/inde[REMOVED]
  • [http://]198.55.103.148/kkd/updat[REMOVED]
  • [http://]198.55.103.148/kkd/info[REMOVED]
  • [http://]198.55.103.148/kkd/info[REMOVED]

A következőkat próbálja megtenni:

  • Letölt és futtat távoli állományokat
  • Végrehajt parancssori utasításokat
  • Összegyűjti a futó folyamatokat egy állományba  (%Temp% ~Pro75C.DAT)
  • Elküldi ezeket egy kiszolgálónak
  • Megállapítja hogy a fertőzött számítógép proxy-n keresztül kommunikál-e
  • Elküldi a proxy címet a kiszolgálónak
  • Ellenőrzi néhány állomány jelenlétét a fertőzött számítógépen