Összefoglaló
A Kivars trójai, leggyakrabban Word dokumentumnak álcázva, email csatolmányaként terjed.
Leírás
Működése során hátsó kaput nyit a sérült rendszeren. Ezen keresztül információkat szivárogtat ki és további utasításokat fogad a terjesztőktől.
Technikai részletek
1. Létrehozza a következő állományokat:
%System%iprips.dll
%System%winbs2.dll
%System%klog.dat
%Temp%NO9907HFEXE.doc
2. A regisztrációs adatbázishoz hozzáadja az alábbi kulcsot:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIprip
3. A fenti kulcsot új értékekkel egészíti ki:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIprip”Type” = “120”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIprip”ErrorControl” = “1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIpripParameters”ServiceDll” = “%System%iprips.dll”
4. Beregisztrál egy új Windows-os szolgáltatást RIP Listening néven.
5. Rendszerinformációkat gyűjt össze.
– a számítógép neve
– hálózati információk
– fájlrendszerrel kapcsolatos adatok, listák
– billentyűzet-kiosztás
– területi beállítások.
6. Az összegyűjtött adatokat feltölti előre meghatározott távoli kiszolgálókra.
7. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.
Támadás típusa
Hijacking (Visszaélés)Information disclosure (Információ/adat szivárgás)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com