Salgorea.B trójai

CH azonosító

CH-12327

Angol cím

Salgorea.B trojan

Felfedezés dátuma

2015.06.11.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Salgorea.B trójai elsődleges feladata, hogy egy hátsó kaput létesítsen az általa megfertőzött számítógépeken, majd azon keresztül szolgálja ki a támadók igényeit.

Leírás

A kártékony program alapvetően az alábbi műveletek elvégzésére vehető rá távolról kiadott parancsok alapján:
– fájlkezelés (beleértve a távoli fájltörlést is)
– a regisztrációs adatbázis bejegyzéseinek manipulálása
– folyamatok leállítása
– rendszerinformációk összegyűjtése és kiszivárogtatása.

A Salgorea.B veszélyét fokozza, hogy megfelelő védelmi eszközök nélkül meglehetősen körülményes a felismerése. Ennek oka, hogy a kódját jól ismert folyamatok mögé rejti el, és a vezérlőszerverével folytatott hálózati kommunikációja során is igyekszik kerülni a feltűnést.

1. Létrehozza a következő állományokat:
%SystemDrive%Documents and SettingsAll UsersApplication DataTencentQQPluginCom.Tencent.DirectShowBundle.rdb
%SystemDrive%Documents and SettingsAll UsersApplication DataTencentQQqq.exe
%Windir%TasksQQIntlUdt.job
%Windir%TasksQQIntlUdt_%USERNAME%.job


2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftmspaint”(Default)” = “%SystemDrive%Documents and SettingsAll UsersApplication DataTencentQQPluginCom.Tencent.DirectShowBundle.rdb”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionime”Fuzzy” = 

HKEY_LOCAL_MACHINESOFTWAREATI TechnologiesInstallSouthBridgeATI_AHCI_RAID”Accessibility,2.0.0.0,,b03f5f7f11d50a3a,msil” =”130774016927030000″
HKEY_CURRENT_USERSoftwareEasyBoot Systems”SSID” = “130774016927030000”
HKEY_CLASSES_ROOT.rpi@ = “rpifile”


3. Megfertőz egy msiexec.exe nevű folyamatot.
4. Csatlakozik egy távoli szerverhez.
5. Nyit egy hátsó kaput.
6. Létrehozza, majd beállítja az alábbi rendszerváltozókat:
VarName = “{55F154C0-CDAF-45C4-9A1A-852FF51F951E}”
Value = “{55F154C0-CDAF-45C4-9A1A-852FF51F951E}”


7. Várakozik a támadók parancsaira, amelyeket rögtön végrehajt.

Hivatkozások

Egyéb referencia: isbk.hu