Összefoglaló
A Jiripbot trójai a hátsó kapuk létesítésére alkalmas károkozók közé sorolható. A célja nem más, mint hogy az általa megfertőzött számítógépeket kiszolgáltatottá tegye a külső támadásokkal szemben, és a PC-k erőforrásaihoz való hozzáférést biztosítsa a kiberbűnözők számára. A támadók egyebek mellett az alábbi feladatok elvégzésére vehetik rá a szerzeményüket:
- parancssorból végrehajtható utasítások futtatása
- fájlok törlése
- a károkozó frissítése
- a károkozó eltávolítása.
A Jiripbot további fontos sajátossága, hogy a fertőzött számítógépekről rendszerinformációkat szivárogtat ki. Ezek között felhasználói fiókokra vonatkozó adatok éppúgy megtalálhatóak lehetnek, mint az operációs rendszer legfontosabb paramétereiről árulkodó információk.
Leírás
1. Létrehozza a következő állományt:
%UserProfile%Application DataAcerLiveUpdater.exe
2. Kapcsolódik egy távoli vezérlőszerverhez.
3. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_CURRENT_USERSoftwareAcer”Preferences” = “[…]”
HKEY_CURRENT_USERSoftwareAcer”Options” = “[…]”
HKEY_CURRENT_USERSoftwareAcer”UPDATE_ID” = “[…]”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Acer LiveUpdater” = “%UserProfile%Application DataAcerLiveUpdater.exe”
4. Összegyűjti az alábbi rendszerinformációkat:
– operációs rendszer paraméterei
– felhasználói adatok
– területi beállítások
– proxy beállítások
5. Nyit egy hátsó kaput, és fogadja a támadók parancsait.
Megoldás
Frissítse a víruskereső adatbázisát.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.isbk.hu
Egyéb referencia: www.symantec.com