Összefoglaló
A Backtor trójai egy olyan káros program, amely az általa megfertőzött számítógépekhez távoli hozzáférést biztosítson. Segítségével a támadók olyan műveletet hajthatnak végre, amelyek komolyabb károkozásokhoz vezethetnek.
A trójai egy videolejátszásra alkalmas programnak álcázza magát. A támadók egyebek mellett az alábbi felsorolt feladatok elvégzésére utasíthatják a károkozót:
– képernyőképek készítése
– fájlok letöltése és futtatása
– rendszerinformációk gyűjtése
– parancssori ablak használata
– a trójai frissítése
– a számítógép újraindítása.
Leírás
1. Létrehozza a következő állományokat:
%UserProfile%Application DataVideovideodrv.exe
%UserProfile%Application DataVideovideodll.exe
%CurrentFolder%vid.mkv
2. A Windows Temp könyvtárába bemásol egy állományt:
%Temp%torbrowser-install-3.6.3_en-US.exe
3. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”videodrv”=”%UserProfile%Application DataVideovideodrv.exe”
4. Csatlakozik egy távoli vezérlőszerverhez.
5. Fogadja a támadók parancsait, amelyeket rögtön végre is hajt.
Megoldás
Windows Defender és a vírusírtók naprakészen tartása.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com