Miras trójai

CH azonosító

CH-11596

Angol cím

Backdoor:Win32/Miras.A

Felfedezés dátuma

2014.09.07.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7
Windows 8

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Miras trójai mindössze egy fájlt hoz létre az áldozatául eső számítógépeken, majd a regisztrációs adatbázis manipulálásával elindit egy “WMI service provider” nevű szolgáltatást. Ezzel biztosítja azt, hogy a Windows újraindítása után is be tudjon kerülni a memóriába.

A Miras rendszerinformációkat gyűjt össze, illetve szivárogtat ki. Így például értesíti a terjesztőit a területi beállításokról, az operációs rendszer egyéb paramétereiről és az aktív felhasználói fiókokról. Eközben egy hátsó kaput is létesít, amelyen keresztül fogadja a terjesztői által kiadott parancsokat. 

A trójai alkalmas folyamatok leállítására, valamint különböző alkalmazások futtatására is.

Leírás

1. Létrehozza a következő állományt:
%System%wbemraswmi.dll 

2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket: 
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesraswmiParameters”ServiceDll”=C:WINDOWSSystem32wbemraswmi.dll
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesraswmi”Type”= 0x00000010
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesraswmi”Start”= 0x00000002
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesraswmi”ErrorControl”=0x00000001
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesraswmi”DisplayName”= “WMI service provider”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesraswmi”Description”=”WMI service client”

3. Kiszámolja a merevlemezen lévő szabad kapacitást, és lementi az alábbi fájlba:
[véletlenszerű karakterek]lu.tmp 

4. Csatlakozik egy távoli kiszolgálóhoz.

5. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.

6. Összegyűjti az alábbi információkat:
– területi beállítások
– az operációs rendszer paraméterei
– felhasználónevek

7. Esetenként különféle folyamatokat állít le.

8. Programokat futtat.

Megoldás

Telepítsen vírusvédelmi programot és tűzfalat, illetőleg rendszeresen frissítse azokat.

Hivatkozások

Egyéb referencia: www.isbk.hu
Egyéb referencia: www.microsoft.com