Összefoglaló
A Kivars trójai, leggyakrabban Word dokumentumnak álcázva, email csatolmányaként terjed.
Leírás
Működése során hátsó kaput nyit a sérült rendszeren. Ezen keresztül információkat szivárogtat ki és további utasításokat fogad a terjesztőktől.
Technikai részletek
1. Létrehozza a következő állományokat:
%System%iprips.dll
%System%winbs2.dll
%System%klog.dat
%Temp%NO9907HFEXE.doc
2. A regisztrációs adatbázishoz hozzáadja az alábbi kulcsot:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIprip
3. A fenti kulcsot új értékekkel egészíti ki:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIprip”Type” = „120”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIprip”ErrorControl” = „1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIpripParameters”ServiceDll” = „%System%iprips.dll”
4. Beregisztrál egy új Windows-os szolgáltatást RIP Listening néven.
5. Rendszerinformációkat gyűjt össze.
– a számítógép neve
– hálózati információk
– fájlrendszerrel kapcsolatos adatok, listák
– billentyűzet-kiosztás
– területi beállítások.
6. Az összegyűjtött adatokat feltölti előre meghatározott távoli kiszolgálókra.
7. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.
Támadás típusa
Hijacking (Visszaélés)Information disclosure (Információ/adat szivárgás)
Hatás
Loss of availability (Elérhetőség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
