Összefoglaló
A Win32/Bergat.B lehetőséget ad egy támadónak hogy jogosulatlan hozzáférése legyen, és írányítsa a számítógépünket.
Leírás
Backdoor:Win32/Bergat.B másolja magát a c:documents and settingsadministratorapplication datamicrosoft�fficekey.exe. helyre.
A program megváltoztatja a következő regisztrációs adatbázis bejegyzéseket annak érdekében hogy automatikusan indulhasson.
In subkey: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
Sets value: “HKLM”
With data: “c:documents and settingsadministratorapplication datamicrosoft�fficekey.exe”
Létrehozza a következő fájlokat:
-
c:documents and settingsadministratorapplication datamicrosoftwindowsp23tlcdmg0hp23tlcdmg0h.dat
-
c:documents and settingsadministratorapplication datamicrosoftwindowsp23tlcdmg0hp23tlcdmg0h.nfo
-
c:documents and settingsadministratorapplication datamicrosoftwindowsp23tlcdmg0hp23tlcdmg0h.svr
-
c:documents and settingsadministratorlocal settingstempaute.tmp
-
c:documents and settingsadministratorlocal settingstempautf.tmp
-
c:documents and settingsadministratorlocal settingstemprpe90c.lp2
A program olyan kódot használ amely segíti a rejtőzködését. Ezt a kódot a futó alkalmazásokba is elhelyezi.
- svchost.exe
Eközben leállítja a valódi svchost.exe folyamatot.
A program hozzáférést biztosít a fertőzött számítógépen egy támadónak. Ennek segítségével a következőket próbálja véfrehajtani:
- Letölt és futtat fájlokat
- Feltölt fájlokat
- Káros programokat terjeszt más számítógépekre
- Monitorozza a bilentyűleütéseket így bizalmas információkat lophatnak
- Megváltoztatja a rendszer tulajdonságait
- Elindít, leállít alkalmazásokat
- Fájlokat töröl
Támadás típusa
Information disclosure (Információ/adat szivárgás)System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.microsoft.com
