Összefoglaló
A Backoff egy olyan trójai amely a POS terminálokra jelent veszélyt, de egyéb Windows-os számítógépeken is kellemetlenséget tud okozni. A kártékony program elsősorban bankkártyákhoz tartozó adatokat próbál ellopni, amelyek révén a terjesztői a kártyákat klónozhatnak. Ezek melett a billentyűleütések folyamatos figyelésével más típusú adatokhoz is hozzá tud jutni, amelyeket rendszeres időközönként egy erre a célra kijelölt kiszolgálóra továbbítanak.
A Backoff egy olyan hátsó kaput is létrehoz a rendszereken, amelyen keresztül egyebek mellett a következő feladatok elvégzésére utasítható:
– programok letöltése és futtatása
– folyamatok leállítása
– billentyűleütések naplózása
– a trójai eltávolítása.
Leírás
1. Létrehozza a következő állományokat:
%AppData%OracleJavajavaw.exe
%AppData%nsskrnl
%AppData%Local.dat
%AppData%OracleJavaLog.txt
2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Windows NT Service” = “%AppData%OracleJavajavaw.exe”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion”identifier” = “[véletlenszerű karakterek]”
3. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.
4. Rendszerinformációkat gyűjt össze.
5. Megpróbál bankkártyákkal kapcsolatos (Track) adatokat kiszivárogtatni. Az adatokat a következő fájlba menti le:
%AppData%Local.dat
6. Folyamatosan naplózza a billentyűleütéseket az alábbi fájlba:
%AppData%OracleJavaLog.txt
7. A megszerzett adatokat feltölti a vezérlőszerverére.
Megoldás
Windows Defender és a vírusírtók napra készen tartása.
Támadás típusa
Hijacking (Visszaélés)Information disclosure (Információ/adat szivárgás)
Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com