Összefoglaló
A Govrat trójai is azon kártékony programok közé sorolható, amelyek a virtuális gépekről azt feltételezik, hogy a felfedezésüket szolgálják. Ezért a károkozó ellenőrzi, hogy fizikai vagy virtuális rendszerre került-e fel. Amennyiben a körülményeket megfelelőnek találja, akkor egy fájl és egy parancsikon létrehozását követően nyit egy hátsó kaput, majd várakozik a támadók parancsaira.
A Govrat jelenlegi variánsa egy Adobe Reader Speed nevű alkalmazásnak álcázza magát. A valóságban természetesen mindez a megtévesztést szolgálja, semmi köze nincs az Adobe szoftvereihez.
A Govrat fontos jellemzője, hogy képes rendszer-, illetve felhasználói adatok kiszivárogtatására.
Leírás
1. Létrehozza a következő állományt:
%UserProfile%Application DataMicrosoftInternet Explorerreader_sl.exe
2. Létrehoz egy parancsikont:
%AllUsersProfile%Start MenuProgramsStartupAdobe Reader Speed Launcher.lnk
3. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson:
4. Interneten keresztül fájlokat tölt le. Ezek között egy digitális tanúsítvány is megtalálható.
5. Kapcsolódik egy távoli kiszolgálóhoz.
6. Nyit egy hátsó kaput.
7. Ellenőrzi, hogy virtuális számítógépen fut-e.
8. További programokat szerez be, illetve futtat.
9. Rendszerinformációkat és felhasználói fiókokra vonatkozó adatokat gyűjt össze.
10. Az összegyűjtött adatokat kiszivárogtatja.
Megoldás
- Használjon offline biztonsági mentést.
- Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE)
Támadás típusa
Information disclosure (Információ/adat szivárgás)Trójai
backdoor
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu