Összefoglaló
Az Uwarrat trójai hátsó kaput nyit, és fájlokat tölt le a fertőzött számítógépen.
Leírás
Futtatásnál létrehozza az alábbi állományokat:
- %UserProfile%Application Datawarriors.dat
- %Temp%bootloader.dec
- %UserProfile%Application DataTESTWindowsUpdate.exe
Csatlakozik a login.collegefan.org kiszolgálóhoz a 2020-as TCP porton keresztül.
A program összegyűjti azon alkalmazások információit a “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall” registry alkulcsból, amely nem tartalmazza az alábbi karaktereket a “DisplayName” értékben:
- Hotfix
- Security Update
- Update for
Összegyűjti az alábbi mappák tartalmát:
- %UserProfile%Desktop
- %UserProfile%Local SettingsTemp
- %UserProfile%Cookies
- %UserProfile%Documents
Az alábbi tevékenységeket tudja továbbá végrehajtani:
- Az elérhető meghajtók adatait összegyűjtheti
- A különleges mappákból a fájlok listáját összegyűjtheti
- A csatlakoztatott monitorok adatait összegyűjtheti
- Letölt vagy feltölthet fájlokat
- Törölhet fájlokat
- Átnevezhet fájlokat, mappákat
- Letörölhet programokat
- Újraindítja vagy kikapcsolhatja a számítógépet
- Befejezheti a tevékenységét
- Újraindíthatja vagy törölheti magát
Megoldás
Naprakész vírusírtó használata.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com