Összefoglaló
A NetWiredRC.A trójai hátsó kapu létrehozására alkalmas. Ennek megfelelően meglehetősen kiszolgáltatottá tudja tenni azokat a rendszereket, amelyekre felkerül.
Leírás
Folyamatosan figyelemmel kíséri a támadók által kiadott utasításokat, melyeket rögtön teljesít. Ezek a parancsok egyebek mellett a következő feladatok elvégzésére utasíthatják a károkozót:
- fájlműveletek
- alkalmazások indítása vagy leállítása
- billentyűleütések naplózása
- rendszerbeállítások manipulálása
- a trójai állományainak frissítése.
A NetWiredRC.A adatszivárogtatásban is szerephez juthat. Ennek során elsősorban a billentyűleütésekből származó adatokat gyűjti össze, majd juttatja el azokat a terjesztőihez.
Technikai részletek:
1. Létrehozza a következő állományokat:
c:programdatamicrosoftracstatedataracmetadata.dat
c:programdatamicrosoftracstatedataracwmidatabookmarks.dat
c:programdatamicrosoftracstatedataracwmieventdata.dat
%APPDATA% microsofthkrun.exe
2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKLMSOFTWAREMicrosoftActive SetupInstalled Components{56375067-ES12-66KQ-SY3W-0547W77K4DQ5}StubPath=”%APPDATA%hkrun.exe”
3. Létrehoz egy mutexet, hogy egyszerre csak egy példányban fusson.
4. Különféle folyamatokat fertőz meg.
5. Csatlakozik egy távoli kiszolgálóhoz, és nyit egy hátsó kaput.
6. Végrehajtja a támadók által kiadott parancsokat.
6. Esetenként folyamatokat állít le.
Megoldás
Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
Támadás típusa
Information disclosure (Információ/adat szivárgás)backdoor
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.microsoft.com
Egyéb referencia: isbk.hu