Backdoor.Klabcon.B

CH azonosító

CH-11314

Angol cím

Backdoor.Klabcon.B

Felfedezés dátuma

2014.06.08.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

Backdoor.Klabcon.B tójai hátső kaput nyit és információkat lop a fertőzött számítógépről, valamint a funkciójáának ellátásához további állományokat tölt le.

Leírás

A trójait egy frissített változata a Backdoor.Klabcon-nak. AÍzon számítógépek, amelyek előzőleg megfertőzödtek, az új variáns automatikusan telepítésre kerül.

Első futásakor a következő állományt hozza létre: %System%Runlog.ocx.

The log file contains a list of the Trojan’s operations including the following: 

A program minden tevékenységét naplófájlokba rögzíti:

  • Dátum és idő, amikor a trójai aktiválásra került
  • Dátum és idő, amikor kommunikált a vezérlő C&C kiszolgálóval
  • Dátum és idő, minden működési rendellenességről

A naplófájl bejegyzések formája a kövezkező:

[YYYY]-[MM]-[DD] [HH]:[MM]:[SS] [EVENT] 

A tójai hátsó kaput nyit a fertőzött számítógépen és a következő doménekhez csatlakozik:

  • anakin819.meibu.net
  • anakin.kmdns.net
  • rookie819.eicp.net

A trójai ellopja a következő információkat a fertőzött számítógépről és elküldi őket a támadónak:

  • CPU információ és a processzor neve
  • Meghajtó információk
  • Memória használati információk
  • Meghajtó tárhely információk

A trójai a követkzőket próbálja végrehajtani:

  • Speciális URL-ekről fájlokat tölt le
  • Számba veszi a szolgáltatásokat
  • További modulokat tölt le
  • További letöltött kártékony fájlokat futtat vagy állít le