Összefoglaló
A Korplug.B trójai kémprogram, amely billentyűleütéseket folyamatosan naplózza és kiszívárogtatja.
Leírás
A Korplug.B trójai kémprogram amely billentyűleütéseket folyamatosan naplózza és kiszívárogtatja. A naplózott adatokat megadott időközönként továbbítja a terjesztői számára. A kémprogram megtévesztésként úgy tűnteti fel saját magát, mintha egy Mozilla szolgáltatás lenne. A Windows feladatkezelőjében sem jelenik meg, mert az operációs rendszer egyik folyamatát is megferőzi. Manuális eltávolítása nehéz a regisztrációs adatbázisban létrehozott sok bejegyzés miatt.
Részletek:
1. Könyvtárakat és állományokat hoz létre:
%AllUsersProfile%Mozilla
%AllUsersProfile%SxS
%AllUsersProfile%MozillaWINMM.dll
2. billentyűleütéseket naplózó állományt hoz létre:
%AllUsersProfile%MozillaTrend2013.dat
3. A Mozilla könyvtárába bemásolja a következő állományt:
%AllUsersProfile%MozillaWINMM.dll.rom
4. A regisztrációs adatbázist módosítja az alábbi kulcsokkal:
HKEY_LOCAL_MACHINESOFTWAREClassesFAST
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOZILLA_MAINTENANCE
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOZILLA_MAINTENANCE�000
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOZILLA_MAINTENANCE�000Control
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMozilla Maintenance
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMozilla MaintenanceSecurity
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMozilla MaintenanceEnum
5. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_LOCAL_MACHINESOFTWAREClassesFASTCLSID: […]
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOZILLA_MAINTENANCE�000Control”*NewlyCreated*” = „0”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOZILLA_MAINTENANCE�000″Service” = „Mozilla Maintenance”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOZILLA_MAINTENANCE�000″Legacy” = „1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOZILLA_MAINTENANCE�000″ConfigFlags” = „0”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOZILLA_MAINTENANCE�000″Class” = „LegacyDriver”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOZILLA_MAINTENANCE�000″ClassGUID” = „{8ECC055D-047F-11D1-A537-0000F8753ED1}”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOZILLA_MAINTENANCE�000″DeviceDesc” = „Mozilla Maintenance Service”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOZILLA_MAINTENANCE”NextInstance” = „1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMozilla MaintenanceEnum”0″ = „RootLEGACY_MOZILLA_MAINTENANCE�000”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMozilla MaintenanceEnum”Count” = „1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMozilla MaintenanceEnum”NextInstance” = „1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMozilla MaintenanceSecurity”Security” = „[…]”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMozilla Maintenance”Type” = „272”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMozilla Maintenance”Start” = „2”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMozilla Maintenance”ErrorControl” = „0”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMozilla Maintenance”ImagePath” = „%AllUsersProfile%MozillaDNSBench.exe”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMozilla Maintenance”DisplayName” = „Mozilla Maintenance Service”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMozilla Maintenance”ObjectName” = „LocalSystem”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMozilla Maintenance”Description” = „Mozilla Maintenance Service”
6. A regisztrációs adatbázisban módosítja az alábbi értéket:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlServiceCurrent”” = „[eredeti érték + 1]”
7. Megfertőzi az svchost.exe folyamatot.
8. Windows-os szolgáltatást hoz létre „Mozilla Maintenance” néven.
9. Hátsó kaput nyit, amin csatlakozik előre meghatározott távoli szerverekhez.
10. Naplózza a billentyűleütéseket, és az így összegyűjtött adatokat kiszivárogtatja.
Megoldás
Tűzfal használata
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.symantec.com
