Érintett rendszerek
MicrosoftWindows 7
Windows Server 2008
Windows Vista
Windows XP
Érintett verziók
Windows 7,
Windows Server 2008,
Windows Vista,
Windows XP
Összefoglaló
A Beginto trójai egy Java alapú kártékony program.
Leírás
A Beginto trójai egy Java alapú kártékony program, amely alapvetően két fájlból épül fel. Tartozik hozzá egy HTML állomány, amelynek kettős szerepe van. Egyrészt segít a trójai JAR fájljának betöltésében, másrészt kódoltan tartalmazza azt a shell kódot, amelyet a károkozó felhasznál a feladatainak ellátása során. Ennek a kódnak a dekódolását már a JAR fájl végzi.
A Beginto a 7998-as TCP porton keresztül kapcsolódik egy előre meghatározott kiszolgálóhoz, amelyről parancsokat fogad. Eközben mindvégig egy notepad.exe folyamat mögött rejtőzik.
A Beginto további fontos jellemzője, hogy a károkozásokhoz használt kódjait rendszeresen tudja frissíteni, így a képességei tovább bővülhetnek.
Technikai részletek:
1. A HTML fájljának segítségével betöltődik a JAR állománya.
2. A HTML állományban található shell kódot dekódolja (Base64).
3. Betölti az alábbi két DLL-fájlt:
- main.dll
- main64.dll
4. Létrehoz egy notepad.exe folyamatot, amelyet megfertőz a shell kóddal.
5. Csatlakozik egy távoli kiszolgálóhoz a 7998-as TCP porton keresztül.
6. Nyit egy hátsó kaput.
7. Esetenként újabb shell kódokat tölt le, és használ fel.
Megoldás
Frissítse a vírusírtó programot.
Támadás típusa
Hijacking (Visszaélés)Information disclosure (Információ/adat szivárgás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com