Összefoglaló
A Cartcapa trójai káros kód vált ismertté, amely a felhasználó fertőzött rendszerén hátsó kaput épít ki.
Leírás
A trójai egy dinamikus DNS bejegyzés segítségével kapcsolódik a vezérlőszerveréhez, ezáltal a kiszolgáló IP-címét a támadók folyamatosan változtathatják.
A Cartcapa mindössze egy fájlt hoz létre a fertőzött számítógépen, amelyet a Windows rendszerkönyvtárába ment le. Ezt követően manipulálja a regisztrációs adatbázist, majd rögtön létrehozza a hátsó kaput. Ettől kezdve folyamatosan lesi a terjesztői által kiadott utasításokat.
Technikai részletek:
1. Létrehozza az alábbi állományt:
%System%capacart.dll
2. A regisztrációs adatbázishoz hozzáadja az alábbi kulcsot:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices6to4
3. Kapcsolódik egy távoli vezérlőszerverhez.
4. Nyit egy hátsó kaput.
5. Fogadja a támadók parancsait, amelyeket rögtön végrehajt.
Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com