Puccmine.A trójai

CH azonosító

CH-11699

Angol cím

Puccmine.A

Felfedezés dátuma

2014.10.07.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A Puccmine.A féreg érdekessége, hogy nemcsak a terjedésére koncentrál, hanem olyan képességei is vannak, amikkel a hátsó kapuk létesítésére alkalmas trójai programok rendelkeznek. Ezáltal a károkozó több szempontból is kockázatot jelent. Egyrészt cserélhető adattárolókon, valamint hálózati megosztásokon keresztül veszélyezteti a PC-ket, másrészt azok megfertőzését követően kiszolgáltatottá teszi a rendszereket a külső támadásokkal szemben. A támadók elsősorban fájlok letöltésére, adatok kiszivárogtatására vehetik rá a fertőzött rendszereket. 

A Puccmine féreg egyik fontos ismertetőjele, hogy az egyik központi állományát minden esetben a számítógép neve alapján nevezi el. E fájl a rendszergazda mappájába kerül. Emellett azonban további állományokat is felmásol a rendszerekre, amelyeket szintén a rendszergazda mappájához tartozó alkönyvtárakba hoz létre. Ezt követően nyit egy hátsó kaput, és várakozik a támadók parancsaira.

Leírás

1. Létrehozza a következő állományt:
c:documents and settingsadministrator[a számítógép neve][a számítógép neve].exe

2. Felmásolja a rendszerre az alábbi fájlokat:
c:documents and settingsadministratorlocal settingstemp8s3q3yfc.bat
c:documents and settingsadministratorlocal settingstemp8sd7pe5s.bat

3. További fájlokat hoz létre a számítógépen:
c:documents and settingsadministratorlocal settingsapplication dataqb07004c.bblibcurl.dll
c:documents and settingsadministratorlocal settingsapplication dataqb07004c.bbminerd.exe
c:documents and settingsadministratorlocal settingsapplication dataqb07004c.bbpthreadgc2.dll
c:documents and settingsadministratorlocal settingsapplication dataqb07004c.bbzlib1.dll
c:documents and settingsadministratorlocal settingsapplication dataqb0743ae.43libcurl.dll
c:documents and settingsadministratorlocal settingsapplication dataqb0743ae.43minerd.exe
c:documents and settingsadministratorlocal settingsapplication dataqb0743ae.43pthreadgc2.dll
c:documents and settingsadministratorlocal settingsapplication dataqb0743ae.43zlib1.dll

4. Csatlakozik egy távoli kiszolgálóhoz a 9000-es TCP porton keresztül.

5. Fogadja a támadók parancsait, amelyeket rögtön végrehajt.

6. További kártékony fájlokat tölt le.

7. Szerepet vállal adatszivárogtatásban.

8. Rendszeresen frissíti a saját állományait.

9. Gondoskodik a további terjedéséről.