Összefoglaló
A Puccmine.A féreg érdekessége, hogy nemcsak a terjedésére koncentrál, hanem olyan képességei is vannak, amikkel a hátsó kapuk létesítésére alkalmas trójai programok rendelkeznek. Ezáltal a károkozó több szempontból is kockázatot jelent. Egyrészt cserélhető adattárolókon, valamint hálózati megosztásokon keresztül veszélyezteti a PC-ket, másrészt azok megfertőzését követően kiszolgáltatottá teszi a rendszereket a külső támadásokkal szemben. A támadók elsősorban fájlok letöltésére, adatok kiszivárogtatására vehetik rá a fertőzött rendszereket.
A Puccmine féreg egyik fontos ismertetőjele, hogy az egyik központi állományát minden esetben a számítógép neve alapján nevezi el. E fájl a rendszergazda mappájába kerül. Emellett azonban további állományokat is felmásol a rendszerekre, amelyeket szintén a rendszergazda mappájához tartozó alkönyvtárakba hoz létre. Ezt követően nyit egy hátsó kaput, és várakozik a támadók parancsaira.
Leírás
1. Létrehozza a következő állományt:
c:documents and settingsadministrator[a számítógép neve][a számítógép neve].exe
2. Felmásolja a rendszerre az alábbi fájlokat:
c:documents and settingsadministratorlocal settingstemp8s3q3yfc.bat
c:documents and settingsadministratorlocal settingstemp8sd7pe5s.bat
3. További fájlokat hoz létre a számítógépen:
c:documents and settingsadministratorlocal settingsapplication dataqb07004c.bblibcurl.dll
c:documents and settingsadministratorlocal settingsapplication dataqb07004c.bbminerd.exe
c:documents and settingsadministratorlocal settingsapplication dataqb07004c.bbpthreadgc2.dll
c:documents and settingsadministratorlocal settingsapplication dataqb07004c.bbzlib1.dll
c:documents and settingsadministratorlocal settingsapplication dataqb0743ae.43libcurl.dll
c:documents and settingsadministratorlocal settingsapplication dataqb0743ae.43minerd.exe
c:documents and settingsadministratorlocal settingsapplication dataqb0743ae.43pthreadgc2.dll
c:documents and settingsadministratorlocal settingsapplication dataqb0743ae.43zlib1.dll
4. Csatlakozik egy távoli kiszolgálóhoz a 9000-es TCP porton keresztül.
5. Fogadja a támadók parancsait, amelyeket rögtön végrehajt.
6. További kártékony fájlokat tölt le.
7. Szerepet vállal adatszivárogtatásban.
8. Rendszeresen frissíti a saját állományait.
9. Gondoskodik a további terjedéséről.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Remote/Network (Távoli/hálózat)
Hivatkozások
Egyéb referencia: www.isbk.hu
Egyéb referencia: www.microsoft.com
