Összefoglaló
A Salgorea.B trójai elsődleges feladata, hogy egy hátsó kaput létesítsen az általa megfertőzött számítógépeken, majd azon keresztül szolgálja ki a támadók igényeit.
Leírás
A kártékony program alapvetően az alábbi műveletek elvégzésére vehető rá távolról kiadott parancsok alapján:
– fájlkezelés (beleértve a távoli fájltörlést is)
– a regisztrációs adatbázis bejegyzéseinek manipulálása
– folyamatok leállítása
– rendszerinformációk összegyűjtése és kiszivárogtatása.
A Salgorea.B veszélyét fokozza, hogy megfelelő védelmi eszközök nélkül meglehetősen körülményes a felismerése. Ennek oka, hogy a kódját jól ismert folyamatok mögé rejti el, és a vezérlőszerverével folytatott hálózati kommunikációja során is igyekszik kerülni a feltűnést.
1. Létrehozza a következő állományokat:
%SystemDrive%Documents and SettingsAll UsersApplication DataTencentQQPluginCom.Tencent.DirectShowBundle.rdb
%SystemDrive%Documents and SettingsAll UsersApplication DataTencentQQqq.exe
%Windir%TasksQQIntlUdt.job
%Windir%TasksQQIntlUdt_%USERNAME%.job
2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftmspaint”(Default)” = “%SystemDrive%Documents and SettingsAll UsersApplication DataTencentQQPluginCom.Tencent.DirectShowBundle.rdb”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionime”Fuzzy” =
HKEY_LOCAL_MACHINESOFTWAREATI TechnologiesInstallSouthBridgeATI_AHCI_RAID”Accessibility,2.0.0.0,,b03f5f7f11d50a3a,msil” =”130774016927030000″
HKEY_CURRENT_USERSoftwareEasyBoot Systems”SSID” = “130774016927030000”
HKEY_CLASSES_ROOT.rpi@ = “rpifile”
3. Megfertőz egy msiexec.exe nevű folyamatot.
4. Csatlakozik egy távoli szerverhez.
5. Nyit egy hátsó kaput.
6. Létrehozza, majd beállítja az alábbi rendszerváltozókat:
VarName = “{55F154C0-CDAF-45C4-9A1A-852FF51F951E}”
Value = “{55F154C0-CDAF-45C4-9A1A-852FF51F951E}”
7. Várakozik a támadók parancsaira, amelyeket rögtön végrehajt.
Hivatkozások
Egyéb referencia: isbk.hu