NetWiredRC.A

CH azonosító

CH-12346

Angol cím

NetWiredRC.A

Felfedezés dátuma

2015.06.17.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A NetWiredRC.A trójai hátsó kapu létrehozására alkalmas. Ennek megfelelően meglehetősen kiszolgáltatottá tudja tenni azokat a rendszereket, amelyekre felkerül.

Leírás

Folyamatosan figyelemmel kíséri a támadók által kiadott utasításokat, melyeket rögtön teljesít. Ezek a parancsok egyebek mellett a következő feladatok elvégzésére utasíthatják a károkozót:

  • fájlműveletek
  • alkalmazások indítása vagy leállítása
  • billentyűleütések naplózása
  • rendszerbeállítások manipulálása
  • a trójai állományainak frissítése.

A NetWiredRC.A adatszivárogtatásban is szerephez juthat. Ennek során elsősorban a billentyűleütésekből származó adatokat gyűjti össze, majd juttatja el azokat a terjesztőihez.

Technikai részletek:

1. Létrehozza a következő állományokat:
c:programdatamicrosoftracstatedataracmetadata.dat
c:programdatamicrosoftracstatedataracwmidatabookmarks.dat
c:programdatamicrosoftracstatedataracwmieventdata.dat
%APPDATA% microsofthkrun.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKLMSOFTWAREMicrosoftActive SetupInstalled Components{56375067-ES12-66KQ-SY3W-0547W77K4DQ5}StubPath=”%APPDATA%hkrun.exe”

3. Létrehoz egy mutexet, hogy egyszerre csak egy példányban fusson.

4. Különféle folyamatokat fertőz meg.

5. Csatlakozik egy távoli kiszolgálóhoz, és nyit egy hátsó kaput.

6. Végrehajtja a támadók által kiadott parancsokat.

6. Esetenként folyamatokat állít le.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.