Összefoglaló
Backdoor.Klabcon.B tójai hátső kaput nyit és információkat lop a fertőzött számítógépről, valamint a funkciójáának ellátásához további állományokat tölt le.
Leírás
A trójait egy frissített változata a Backdoor.Klabcon-nak. AÍzon számítógépek, amelyek előzőleg megfertőzödtek, az új variáns automatikusan telepítésre kerül.
Első futásakor a következő állományt hozza létre: %System%Runlog.ocx.
The log file contains a list of the Trojan’s operations including the following:
A program minden tevékenységét naplófájlokba rögzíti:
- Dátum és idő, amikor a trójai aktiválásra került
- Dátum és idő, amikor kommunikált a vezérlő C&C kiszolgálóval
- Dátum és idő, minden működési rendellenességről
A naplófájl bejegyzések formája a kövezkező:
[YYYY]-[MM]-[DD] [HH]:[MM]:[SS] [EVENT]
A tójai hátsó kaput nyit a fertőzött számítógépen és a következő doménekhez csatlakozik:
- anakin819.meibu.net
- anakin.kmdns.net
- rookie819.eicp.net
A trójai ellopja a következő információkat a fertőzött számítógépről és elküldi őket a támadónak:
- CPU információ és a processzor neve
- Meghajtó információk
- Memória használati információk
- Meghajtó tárhely információk
A trójai a követkzőket próbálja végrehajtani:
- Speciális URL-ekről fájlokat tölt le
- Számba veszi a szolgáltatásokat
- További modulokat tölt le
- További letöltött kártékony fájlokat futtat vagy állít le
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.symantec.com