Összefoglaló
A Domar trójai mindössze egy feladatra alkalmas, de azt üzembiztosan képes ellátni. Ez pedig nem más, mint különféle fájlok interneten keresztül történő letöltése. Azt, hogy éppen honnan és milyen állományokat kell beszereznie, a készítői határozhatják meg. Ennek következtében tetszőleges kártékony kódokkal halmozhatja el az áldozatául eső számítógépeket.
A Domar elsősorban a Program Files mappában található, vagy a trójai által oda létrehozott könyvtárakba fészkeli be magát. Ezt követően egy Windows-os szolgáltatást is létrehoz, amely az állandó jelenlétét biztosítja. A károkozó mind a fájlnevek, mind a szolgáltatásainak elnevezése kapcsán előszeretettel használ véletlenszerűen generált karaktersorozatokat.
Leírás
1. Különböző fájlokat tölt le, amelyeket lement a következő mappába:
%ProgramFiles%AppPatch
2. Csatlakozik előre meghatározott távoli szerverekhez.
3. Létrehozza az alábbi állományokat:
%ProgramFiles%[véletlenszerű karakterek].dll
%ProgramFiles%mysqld.dll
%ProgramFiles%NetSyst[véletlenszerű karakterek].dll
4. A fenti állományait betölti a memóriába.
5. Lemásolja a saját kódját a következők szerint
%ProgramFiles%Microsoft [véletlenszerű karakterek][véletlenszerű karakterek].exe
6. Létrehoz egy Windows-os szolgáltatást, amelynek véletlenszerűen generált nevet ad.
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
- Használjon offline biztonsági mentést!
- Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool.
Támadás típusa
Information disclosure (Információ/adat szivárgás)execute arbitrary code
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu