Összefoglaló
A kompromittálódott rendszeren képernyőmentésekkel és billentyűleütések monitorozásával jut hozzá a felhasználónevekhez és jelszavakhoz.
Leírás
A kompromittálódott rendszeren képernyőmentésekkel és billentyűleütések monitorozásával jut hozzá a felhasználónevekhez és jelszavakhoz.
A Trójai által végrehajtott műveletek:
1. Létrehozza a következő mappákat:
%Windir%otoz
C:Documents and SettingsAll UsersApplication Data[véletlenszerű karakterek]
C:Documents and SettingsAll UsersApplication DataSun
2. A fenti könyvtárakba bemásol néhány fájlt az alábbiak szerint:
C:Documents and SettingsAll UsersApplication Data[véletlenszerű karakterek].][véletlenszerű karakterek].dat
C:Documents and SettingsAll UsersApplication DataSun[véletlenszerű karakterek].bkp
%Windir%otozixedirok.exe
3. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun[véletlenszerű karakterek]: “”%Windir%otozixedirok.exe””
4. Csatlakozik egy távoli kiszolgálóhoz.
5. Nyit egy hátsó kaput, és fogadja a terjesztői által kiadott parancsokat, amik a trójai további működését befolyásolhatják.
6. Naplózza a billentyűleütéseket.
7. Képernyőképeket készít.
8. További kártékony kódokat tölt le.
Megoldás
A naprakészen tartott víruskereső.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com