Readomesa trójai

CH azonosító

CH-11810

Angol cím

Backdoor.Readomesa

Felfedezés dátuma

2014.11.16.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A Readomesa trójai célja, hogy elősegítse azokat a támadásokat, amelyek különféle rendszerek, illetve szolgáltatások térdre kényszerítésére irányulnak. Vagyis a trójai szolgáltatásmegtagadási támadások végrehajtását támogatja. Elsősorban olyan komponensekkel rendelkezik, amelyek hálózatalapú DoS támadásokhoz járulhatnak hozzá.

A Readomesa felhasználói mappákba és fájlok átmeneti tárolására szolgáló könyvtárakba másolja be a saját állományait. Ezt követően nyit egy hátsó kaput, ami többek között azt a célt szolgálja, hogy a károkozó képes legyen fogadni a támadók által kiadott utasításokat. A kártevő így szerez tudomást arról, hogy éppen milyen célpont ellen kell harcba szállnia.

Leírás

1. Létrehozza a következő állományokat:
%Temp%IPX[véletlenszerű karakterek].TMPreadme.txt
%Temp%IPX[véletlenszerű karakterek].TMPlibssp-0.dll
%Temp%IPX[véletlenszerű karakterek].TMPctfmon.exe
%AllUsersProfile%Application Datareadme.txt
%AllUsersProfile%Application Datalibssp-0.dll
%AllUsersProfile%Application Datactfmon.exe
%UserProfile%acpi64.cnm
%UserProfile%xupdater.exe
2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”wextract_cleanup1″ = “rundll32.exe %System%advpack.dll,DelNodeRunDLL32 “%Temp%IXP[véletlenszerű karakterek].TMP\””
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”wextract_cleanup0″ = “rundll32.exe %System%advpack.dll,DelNodeRunDLL32 “%Temp%IXP[véletlenszerű karakterek].TMP\””
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”pidgin” = “%AllUsersProfile%Application Datactfmon.exe”
3. Csatlakozik egy távoli kiszolgálóhoz.
4. Nyit egy hátsó kaput.
5. Szolgáltatásmegtagadási támadásokat kezdeményez HTTP, TCP és UDP protokollokra épülő módszerek felhasználásával.
6. Interneten keresztül frissíti a saját állományait.