Kwampirs trójai

CH azonosító

CH-13532

Angol cím

Kwampirs trojan

Felfedezés dátuma

2016.08.22.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Kwampirs trójai egyedi megoldással komunikál a vezérlőszerverekkel.

Leírás

A káros kód egy hátsó kaput hoz létre az általa megfertőzött rendszereken. Ezt azonban nem teljesen szokványos módon valósítja meg, ugyanis a vezérlőszerverével URL-ek segítségével kommunikál. A terjesztői az URL-ekbe kódolt formában helyezhetik el a parancsokat (illetve a shellcode-okat), amelyeket a károkozó dekódol, majd végrehajt.

A Kwampirs trójai további fontos jellemzője, hogy fájlokat is képes letölteni. Mindezt titkosított módon teszi meg annak érdekében, hogy a rendszerekre feljuttatandó további kártevőket minél nehezebb legyen kiszűrni a hálózati adatforgalom vizsgálatával.

 

Technikai részletek:

1. Létrehozza az alábbi állományokat:

  • %Windir%infmtmndkb32.PNF
  • %Windir%infdigirps.PNF
  • %Windir%infmkdiawb3.PNF
  • %Windir%infie11.PNF
  • %Temp%[véletlenszerű karakterek].tmp
  • %Windir%System32[véletlenszerű karakterek].dll

2. Létrehoz egy WMI Performance Adapter Extension nevű Windows-os szolgáltatást.

3. Csatlakozik egy távoli vezérlőszerverhez egy URL-lista alapján.

4. Nyit egy hátsó kaput.

5. Titkosított fájlokat tölt le interneten keresztül.

6. URL-eken keresztül parancsokat fogad, amelyeket rögtön végrehajt.

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com