Összefoglaló
Trojan.Scieron egy olyan trójai, amely hátsó ajtót nyít a fertőzött számítógépen. Általában WinWord alkalmazás formájában jut fel a számítógépre. Amint ez megtörténik, akkor a szövegszerkeztő helyett a kártékony kód kerül a memóriába, és így szabad utat enged a károkozóknak. A trójai a rendszerinformációk összegyűjtése során a számítógép és az operációs rendszer legfontosabb paramétereit kérdezi le, és gyűjti össze.
Leírás
1. Létrehozza a következő állományokat:
%UserProfile%Application Datawinword.exe
%UserProfile%Application Datahttpsapi.dll
%System%httpsapi.dll
2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunhttps: “rundll32.exe %UserProfile%Application Datahttpsapi.dll,DllGetObject”
3. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKEY_CLASSES_ROOTCLSID{B8969153-2214-4d23-B02B-FC8B490F8F54}Default:”Http Security”
HKEY_CLASSES_ROOTCLSID{B8969153-2214-4d23-B02B-FC8B490F8F54}InprocServer32Default:”%System%mshttp.dll”
Ezzel egy BHO objektumot regisztrál be.
4. Létrehoz két mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.
5. Egy URL-lista alapján csatlakozik távoli kiszolgálókhoz.
6. Nyit egy hátsó kaput.
7. Rendszerinformációkat gyűjt össze.
8. Végrehajtja a terjesztői által kiadott parancsokat.
Megoldás
Windows Defender és a vírusírtók napra készen tartása.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com