Összefoglaló
A Boyapki trójai két bűnözői csoport tevékenységét segíti elő. Az egyik esetben támogatja az adathalászokat azzal, hogy átirányítást végez banki weboldalak megtekintésekor, ezáltal káros weblapra vezeti a felhasználókat. A másik esetben nyit egy hátsó kaput, ezáltal a külső támadásokkal szemben a fertőzött számítógépeket kiszolgáltatottá teszi.
A Boyapki jelenlegi variánsa kiszemelte a koreai bankok ügyfeleit, semmiféle akadálya nincs technikailag annak, hogy más országok pénzintézeteit vegye célba a Boyapki trójai egy másik variánsa. Ha más ország pénzintézetei kerülnek célba, akkor elsőként a banki adatok, a banki szolgáltatásokhoz tartozó felhasználónevek és jelszavak lesznek veszélyben.
A Boyapki trójai több vezérlőszerverhez kapcsolódik a hátsókapu nyitásakor. A vezérlőszerverekről azokat az utasításokat szerzi be, amelyek szükségesek a feladatai ellátásához. A terjesztői további fájlok letöltésére utasíthatják, frissíteni a vezérlőszerverek címlistáját, valamint a számítógép leállítására.
Leírás
1. Az alábbi állományokat hozza létre:
%Windir%[véletlenszerű karakterek]MUpdate.exe
%Windir%[véletlenszerű karakterek][véletlenszerű karakterek].dll
%System%drivershosts.ics
2. A következő bejegyzést hozzáadja a regisztrációs adatbázishoz:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”CTFM0N” = “%Windir%[véletlenszerű karakterek]MUpdate.exe %Windir%[véletlenszerű karakterek][véletlenszerű karakterek].dll,ALSTS_ExecuteAction”
3. A biztonsági alkalmazásokhoz tartozó folyamatokat leállítja.
4. Letölt egy bankok nevét és webcímét tartalmazó listát egy távoli kiszolgálóról.
5. Az alábbi állományt hozza létre, amivel hálózati átirányításokat hajt végre:
%System%drivershosts.ics
6. Egy NPKI, valamint egy abban megtalálható u.dat fájl után keresve feltérképezi a számítógépről elérhető összes meghajtót. Az állományt feltölti egy távoli szerverre, ha megtalálja.
7. A vezérlőszervereinek eléréséhez szükséges címlistát letölti egy távoli kiszolgálóról.
8. A 8761-es, a 8086-os és a 3666-os portokon keresztül csatlakozik a vezérlőszervereihez.
9. Egy hátsó kaput nyit, és a támadók parancsaira várakozik.
Támadás típusa
Information disclosure (Információ/adat szivárgás)System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.symantec.com
