Összefoglaló
A Bedep trójai az Angler Exploit Kit nevű támadóeszközt használja fel a céljai eléréséhez. Ezáltal különféle biztonsági rések kihasználására válik alkalmassá. Fontos jellemzője, hogy a számára kijelölt feladatokat 32 és 64 bites Windows operációs rendszerek alatt is képes elvégezni.
A Bedep minden állományát véletlenszerűen nevezi el, és egy explorer.exe nevű folyamat mögül végzi a tevékenységét. A legkockázatosabb jellemzője, hogy további hírhedt kártékony programokat képes feljuttatni és feltelepíteni a már amúgy is fertőzött rendszerekre.
A Bedep képes a saját állományainak rendszeres frissítésére, így a funkcionalitása folyamatosan bővülhet.
Leírás
1. Létrehozza a következő állományt:
%ProgramData%<[…]>[véletlenszerű karakterek].dll
2. A regisztrációs adatbázist kiegészíti az alábbi bejegyzésekkel:
HKCRCLSID{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}InprocServer32ThreadingModel=ThreadingModel
HKCRCLSID{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}InprocServer32(Default)=%ProgramData%<[…]>[véletlenszerű karakterek].dll
3. Elindít egy explorer.exe folyamatot, és megfertőzi azt.
4. Kapcsolódik egy távoli szerverhez a 443-as TCP porton keresztül.
5. További kártékony programokat tölt le. Ezek között megtalálhatóak lehetnek az alábbi károkozók is:
Dofoil
Ursnif
Zemot
6. A letöltött programokat feltelepíti.
7. Rendszerinformációkat gyűjt össze.
Támadás típusa
Other (Egyéb)System access (Rendszer hozzáférés)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.isbk.hu
Gyártói referencia: www.microsoft.com