Összefoglaló
A Laziok trójai a saját fájljait jól ismert állományoknak próbálja álcázni. Egy Oracle könyvtárba másolja be a kódjait, hogy ilyen módon is kerülje a feltűnést. Ugyanakkor ezzel nem biztos, hogy el tudja érni a célját, hiszen azért szemet szúrhat, hogy mit keres az Oracle alkalmazások tárolására szolgáló könyvtárban például egy chrome.exe vagy egy taskmgr.exe nevű fájl.
A Lazioknak egy célja van: minél több rendszerinformációval ellátni a terjesztőit, akik ezáltal átfogó képet kaphatnak arról, hogy milyen számítógépek estek áldozatul, és milyen erőforrások felett tudják átvenni az irányítást. A trójai egyebek mellett lekérdezi a futó biztonsági szoftvereket, a Java és a .Net keretrendszer telepített verzióit, valamint a fontosabb hardverparamétereket.
Leírás
1. Létrehozza a következő állományokat:
%Windir%explorersmss.exe
%UserProfile%Application DataSystemOracleazioklmpxhzidhzid.txt
%UserProfile%Application DataSystemOraclesmss.exe
%UserProfile%Application DataSystemOracleazioklmpxsearch.exe
%UserProfile%Application DataSystemOracleazioklmpxati.exe
%UserProfile%Application DataSystemOracleazioklmpxlsass.exe
%UserProfile%Application DataSystemOracleazioklmpxsmss.exe
%UserProfile%Application DataSystemOracleazioklmpxadmin.exe
%UserProfile%Application DataSystemOracleazioklmpxkey.exe
%UserProfile%Application DataSystemOracleazioklmpxtaskmgr.exe
%UserProfile%Application DataSystemOracleazioklmpxchrome.exe
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Windows” = “%UserProfile%Application DataSystemOraclesmss.exe”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”Windows” = “%Windir%explorersmss.exe”
3. Csatlakozik egy távoli kiszolgálóhoz, amelyről további ártalmas fájlokat tölt le. Ezeket az alábbiak szerint menti le:
%UserProfile%Application DataSystemOracleazioklmpxsearch.exe
%UserProfile%Application DataSystemOracleazioklmpxati.exe
%UserProfile%Application DataSystemOracleazioklmpxlsass.exe
%UserProfile%Application DataSystemOracleazioklmpxsmss.exe
%UserProfile%Application DataSystemOracleazioklmpxadmin.exe
%UserProfile%Application DataSystemOracleazioklmpxkey.exe
%UserProfile%Application DataSystemOracleazioklmpxtaskmgr.exe
%UserProfile%Application DataSystemOracleazioklmpxchrome.exe
4. Rendszerinformációkat szivárogtat ki:
– számítógép neve
– lemezkapacitás
– telepített biztonsági szoftverek
– hardverparaméterek
5. Ellenőrzi, hogy az alábbi szoftverek megtalálhatóak-e a számítógépen.
Steam
Origin
Java
.Net Framework.
Megoldás
Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
backdoor
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com