Összefoglaló
A Pstinb.J trójai is a hátsó kapuk létesítésére alkalmas kártékony programokhoz csatlakozott. Ennek megfelelően olyan műveleteket hajt végre, amik révén távolról vezérelt módon képes teljesíteni a kiberbűnözők kívánságait. Mindez leginkább nemkívánatos parancsok futtatására terjed ki, de akár az adatszivárgás is felmerülhet, mint kockázati tényező.
A Pstinb.J minden állományát az átmeneti fájlok tárolására szolgáló (Temp) mappába másolja be, majd különböző folyamatok megfertőzésével éri el, hogy Feladatkezelőben ne okozzon feltűnést a jelenléte.
A Pstinb.J a vezérlőszerverével folytatott kommunikációja során a 80-as TCP portot használja, vagyis a webes adatforgalomba próbál elrejtőzni.
Leírás
1. Létrehozza a következő állományokat:
%TEMP%rarsfx0functions.dll
%TEMP%rarsfx0geoip.dat
%TEMP%rarsfx0proxy multiply.exe
%TEMP%rarsfx0win32.exe
2. Különböző folyamatokat fertőz meg.
3. További kártékony kódokat, programokat tölt le.
4. Kapcsolódik egy távoli vezérlőszerverhez a 80-as TCP porton keresztül
5. Értesíti a terjesztőit a fertőzés megtörténtéről.
6. Végrehajtja a számára kijelölt feladatokat.
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se
- Használjon offline biztonsági mentést!
Támadás típusa
Information disclosure (Információ/adat szivárgás)Trójai
backdoor
execute code
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.microsoft.com
Egyéb referencia: isbk.hu