Összefoglaló
A Puccmine.A féreg érdekessége, hogy nemcsak a terjedésére koncentrál, hanem olyan képességei is vannak, amikkel a hátsó kapuk létesítésére alkalmas trójai programok rendelkeznek. Ezáltal a károkozó több szempontból is kockázatot jelent. Egyrészt cserélhető adattárolókon, valamint hálózati megosztásokon keresztül veszélyezteti a PC-ket, másrészt azok megfertőzését követően kiszolgáltatottá teszi a rendszereket a külső támadásokkal szemben. A támadók elsősorban fájlok letöltésére, adatok kiszivárogtatására vehetik rá a fertőzött rendszereket.
A Puccmine féreg egyik fontos ismertetőjele, hogy az egyik központi állományát minden esetben a számítógép neve alapján nevezi el. E fájl a rendszergazda mappájába kerül. Emellett azonban további állományokat is felmásol a rendszerekre, amelyeket szintén a rendszergazda mappájához tartozó alkönyvtárakba hoz létre. Ezt követően nyit egy hátsó kaput, és várakozik a támadók parancsaira.
Leírás
1. Létrehozza a következő állományt:
c:documents and settingsadministrator[a számítógép neve][a számítógép neve].exe
2. Felmásolja a rendszerre az alábbi fájlokat:
c:documents and settingsadministratorlocal settingstemp8s3q3yfc.bat
c:documents and settingsadministratorlocal settingstemp8sd7pe5s.bat
3. További fájlokat hoz létre a számítógépen:
c:documents and settingsadministratorlocal settingsapplication dataqb07004c.bblibcurl.dll
c:documents and settingsadministratorlocal settingsapplication dataqb07004c.bbminerd.exe
c:documents and settingsadministratorlocal settingsapplication dataqb07004c.bbpthreadgc2.dll
c:documents and settingsadministratorlocal settingsapplication dataqb07004c.bbzlib1.dll
c:documents and settingsadministratorlocal settingsapplication dataqb0743ae.43libcurl.dll
c:documents and settingsadministratorlocal settingsapplication dataqb0743ae.43minerd.exe
c:documents and settingsadministratorlocal settingsapplication dataqb0743ae.43pthreadgc2.dll
c:documents and settingsadministratorlocal settingsapplication dataqb0743ae.43zlib1.dll
4. Csatlakozik egy távoli kiszolgálóhoz a 9000-es TCP porton keresztül.
5. Fogadja a támadók parancsait, amelyeket rögtön végrehajt.
6. További kártékony fájlokat tölt le.
7. Szerepet vállal adatszivárogtatásban.
8. Rendszeresen frissíti a saját állományait.
9. Gondoskodik a további terjedéséről.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Remote/Network (Távoli/hálózat)
Hivatkozások
Egyéb referencia: www.isbk.hu
Egyéb referencia: www.microsoft.com