Összefoglaló
A Potao trójai alapvetően két részből épül fel. Egy alapmodulból, amely csak alapszintű funkcionalitást biztosít, viszont képes hozzájárulni a trójai képességeinek kiterjesztéséhez. A károkozó másik összetevőjét pedig egy moduláris alrendszer alkotja, ami tetszés szerint bővíthető különféle kiegészítőkkel. A bővítményeket az alapmodul tölti le távoli vezérlőszerverekről, így a terjesztői olyan szolgáltatásokkal vértezhetik fel a kártevőt, amire éppen szükségük van.
A Potao alapmodulja nemcsak arra képes, hogy bővítményeket szerezzen be, hanem arra is, hogy hátsó kaput nyisson a rendszeren. Ez esetben is azokhoz a kiszolgálókhoz kapcsolódik, amelyekről a kiegészítőit tudja letölteni.
Leírás
1. Létrehozza a következő állományokat:
%UserProfile%Application DataMicrosoft[véletlenszerű karakterek].dll
%UserProfile%Local SettingsTemp[véletlenszerű karakterek].tmp
2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[véletlenszerű karakterek]”=”rundll32.exe %UserProfile%Application DataMicrosoft[véletlenszerű karakterek].dll”
3. Létrehoz egy Microsoft Word ikonnal ellátott parancsikont.
4. Megnyit egy ártalmatlan Word dokumentumot.
5. Kapcsolódik távoli kiszolgálókhoz.
6. Nyit egy hátsó kaput.
7. Különféle kártékony modulokat tölt le.
Megoldás
- Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
- Használja a Windows Defender-t Windows 8.1 rendszeren, vagy a Microsoft Security Essentials windows 7-en és Windows Vistán.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
backdoor
execute code
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com