Összefoglaló
A Janicab trójai a Microsoft Office sérülékenységét használja ki.
Leírás
A Janicab trójai a Microsoft Office sérülékenységét használja ki, így kártékony Word dokumentumként terjed. Egy ilyen dokumentum megnyitásakor, amennyiben a felhasználó nem rendelkezik megfelelő vírusvédelemmel, meg is fertőződik. A trójai egy hátsó kapu létesít, majd azon keresztül adatokat szivárogtat és utasításokat fogad, a vezérlőszerveréről.
Technikai részletek:
1. Létrehozza a következő állományokat:
%User Profile%Application Data.vbe
%User Profile%Start MenuMicrosoft Sync Services.lnk
2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain”Check_Associations” = “no”
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon”Shell” = “wscript.exe “%User Profile%SystemFolder.vbe””
3. Előre meghatározott URL-ek alapján YouTube weboldalakat tölt le.
4. A letöltött weboldalakon egy előre meghatározott karaktersorozatban megkeres egy URL-t, amely a vezérlőszerveréhez való kapcsolódáshoz szükséges.
5. Kapcsolódik a vezérlőszerveréhez, amelyre feltölti a következő információkat:
– a számítógép neve
– felhasználónevek
– a telepített biztonsági szoftverek neve
– a saját verziószáma.
6. A vezérlőszerverről különféle parancsokat fogad, amelyeket rögtön végre is hajt.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com