Összefoglaló
A Busadom trójai különösen azon számítógépekre jelent veszélyt, amelyek a biztonsági frissítések szempontjából nem naprakészek. A kártékony program a Flash Player egyik (CVE-2014-9163 jelzésű) sebezhetőségét használja ki, amelyet az Adobe már 2014 decemberében megszüntetett. Az érintett alkalmazás frissítésével a trójai támadási vektora könnyedén kivédhető.
A Busadom komponensei véletlenszerű fájlnévvel rendelkező állományok formájában kerülhetnek fel a rendszerekre, amelyeken manipulálja az Internet Explorer egyes beállításait. Majd kapcsolódik egy távoli kiszolgálóhoz, amelyről különféle fájlokat tölt le. Mindezek mellett rendelkezik egy olyan összetevővel, amelynek révén rendszerinformációk kiszivárogtatására válik alkalmassá.
Leírás
1. Létrehozza a következő állományt:
%UserProfile%Local SettingsApplication Data[véletlenszerű karakterek].[véletlenszerű karakterek]
2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZoneMapDomains”iad12s04-in-f22.1h100.nethttp” = “0”
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZoneMapDomains”iad12s04-in-f22.1h100.nethttps” = “0”
3. Kapcsolódik az előre meghatározott távoli kiszolgálókhoz.
4. További ártalmas programokat tölt le, illetve futtat.
5. Rendszerinformációkat gyűjt össze, és szivárogtat ki.
Megoldás
Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com