Összefoglaló
A Cadelspy trójai meglehetősen sok változtatást eszközöl a célkeresztjébe kerülő rendszereken. Mind a fájlrendszer, mind a regisztrációs adatbázis szintjén jó pár nyomot hagy maga után. Ugyanakkor a felismerése – megfelelő védelmi eszközök hiányában – mégsem minden esetben egyértelmű, mivel a károkozó a Windows explorer.exe folyamata mögé rejtőzik el.
Leírás
A Cadelspy alapvetően adatlopásból veszi ki a részét. Ennek során egy hátsó kaput létesít, és várakozik a támadók parancsaira. Az elkövetők egyebek mellett a billentyűleütések folyamatos naplózására utasíthatják a szerzeményüket, de akár rendszer- és alkalmazásinformációkat is bezsebelhetnek. A trójai a megkaparintott adatokat egy távoli kiszolgálóra tölti fel, és ilyen módon juttatja az információkat a támadók kezébe.
Technikai részletek:
1. Létrehozza az alábbi könyvtárakat:
%System%ntinfo32
%System%ntsvc32
%System%ntsvc32update
%System%ntinfo32completedupl
%System%ntinfo32completedp[NUMBER]
%System%_tmp001x86
%System%_tmp001x64
2. Felmásolja a rendszerre a fájljait:
%System%ntsvc322094012403.cfg
%System%ntsvc322094012403.rou
%System%ntsvc32ntsvc32.dll
%System%ntsvc32ntsvcst32.dll
%System%ntinfo32completedp[NUMBER]2094012403-[dátum]-(12-46-51)-006.fjr_0001.ecm
%System%ntinfo32completedupl2094012403-[dátum]-(12-54-51)-045.fjr_0006.ecm
3. Megfertőzi az explorer.exe folyamatot.
4. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows”LoadAppInit_DLLs” = “1”
HKEY_CURRENT_USERSoftwarentsvc32
HKEY_CURRENT_USERSoftwarentsvc32FLS
HKEY_CURRENT_USERSoftwarentsvc32HDD
HKEY_CURRENT_USERSoftwarentsvc32HST
HKEY_CURRENT_USERSoftwarentsvc32PAP
HKEY_CURRENT_USERSoftwarentsvc32ROU
HKEY_CURRENT_USERSoftwarentsvc32UPL
5. Kitörli az alábbi állományokat:
%Temp%_tmp001x64
%Temp%_tmp001x642094012403.cfg
%Temp%_tmp001x642094012403.rou
%Temp%_tmp001x64ntsvc32.dll
%Temp%_tmp001x64ntsvcst32.dll
%Temp%_tmp001x86
%Temp%_tmp001x862094012403.cfg
%Temp%_tmp001x862094012403.rou
%Temp%_tmp001x86ntsvc32.dll
%Temp%_tmp001x86ntsvcst32.dll
6. Kapcsolódik egy vagy több távoli kiszolgálóhoz.
7. Nyit egy hátsó kaput.
8. Adatokat gyűjt össze, amiket a következő állományokba ment le:
%System%ntinfo32completedp[NUMBER]2094012403-[dátum]-(12-46-51)-006.fjr_0001.ecm
%System%ntinfo32completedupl2094012403-[dátum]-(12-54-51)-045.fjr_0006.ecm
9. Az összegyűjtött adatokat kiszivárogtatja.
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
- Használjon offline biztonsági mentést!
- Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool
Támadás típusa
Trójaibackdoor
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com