Összefoglaló
Az Emdivi trójai azon kártékony programok közé sorolható, amelyek a háttérben lapulnak, miközben kiszolgáltatottá teszik a számítógépeket a külső támadásokkal szemben. Az Emdivi is kerüli a feltűnést, ezért mindössze két fájlt hoz létre a rendszereken, amiket a Windows átmeneti állományok tárolására szolgáló mappájába másol be.
A trójai az Indítópultban hoz létre egy parancsikont, amelynek segítségével a Windows újraindítása után is képes aktivizálódni. Tulajdonképpen ez a parancsikon lehet a trójai legfeltűnőbb ismertetőjele.
A kártékony program feladata, hogy egy hátsó kaput létesítsen a rendszereken, és azon keresztül fogadja, majd végrehajtja a támadók utasításait.
Leírás
1. Létrehozza a következő állományt:
%Temp%leassnp.exe
2. A Windows Temp könyvtárába bemásol egy “kptl.doc” nevű fájlt.
3. Létrehoz egy parancsikont az Indítópultban.
%SystemDrive%Documents and SettingsAll UsersStart MenuProgramsStartupleassnp.lnk
4. Kapcsolódik egy távoli kiszolgálóhoz.
5. Nyit egy hátsó kaput.
6. Fogadja, majd végrehajtja a támadók parancsait.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.isbk.hu
Gyártói referencia: www.symantec.com