Összefoglaló
A trójai egy PCreg nevű alkalmazásnak adja ki magát. A fájljai a “pcreg” nevű mappába kerülnek be Program Files könyvtárba. Ezután a kéretlen szoftver egy Windows-os szolgáltatást hoz létre, amellyel egyrészt biztosítja, hogy a háttérben folyamatosan futhasson, másrészt a Windows újraindítása után automatikusan be tudjon töltődni.
A Sesafer konkrét vezérlőszerverekhez kapcsolódik, amelyekről különféle fájlokat tölt le. Természetesen arról is gondoskodik, hogy a beszerzett kártékony programok megfelelő módon felkerüljenek a már amúgy is fertőzött számítógépre. Mindezek mellett a trójai a regisztrációs adatbázist is számos ponton átírja, így megpróbálja a különféle biztonsági szabályokat megkerülni, és csökkenteni a védelem szintjét.
Leírás
1. Létrehozza az alábbi állományokat:
%ProgramFiles%pcreginstall32.xml
%ProgramFiles%pcreginstall64.xml
%ProgramFiles%pcreginstallXP.xml
%ProgramFiles%pcreginstall_service.xml
%ProgramFiles%pcregmsvcr100.dll
%ProgramFiles%pcregpcreg.exe
%ProgramFiles%pcregservice.exe
%Temp%file_[véletlenszerű karakterek].exe
2. Ellenőrzi, hogy létezik-e az alábbi fájlt:
%ProgramFiles%pcregservice.exe
Amennyiben nem, akkor letölti azt előre meghatározott weboldalakról.
3. Létrehoz egy “pcregservice Service” nevű Windows-os szolgáltatást.
4. A regisztrációs adatbázishoz hozzáadja az alábbi kulcsot:
HKEY_LOCAL_MACHINESYSTEMControlSet001Servicespcregservice
5. Csatlakozik távoli kiszolgálókhoz.
6. Fájlokat tölt le a szerveréről, amelyeket a következők szerint ment le:
%Temp%file_[véletlenszerű karakterek].exe
%Temp%file_to_run55[véletlenszerű karakterek].exe
6. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_PCREGSERVICE�000Control
“NewlyCreated” = “0”
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_PCREGSERVICE�000Control
“ActiveService” = “pcregservice”
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_PCREGSERVICE�000″Service” =
“pcregservice”
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_PCREGSERVICE�000″Legacy” = “1”
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_PCREGSERVICE�000″ConfigFlags” =
“0”
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_PCREGSERVICE�000″Class” =
“LegacyDriver”
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_PCREGSERVICE�000″ClassGUID” =
“[…]”
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_PCREGSERVICE�000″DeviceDesc” =
“pcregservice Service”
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_PCREGSERVICE”NextInstance” = “1”
7. Módosítja a regisztrációs adatbázis következő értékeit:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
policiessystem”ConsentPromptBehaviorAdmin” = “0”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
policiessystem”ConsentPromptBehaviorUser” = “0”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
policiessystem”EnableLUA” = “0”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
policiesAssociations”LowRiskFileTypes” = “.zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.
html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.log;”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
policiesAttachments”SaveZoneInformation” = “1”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
policiesAttachments”HideZoneInfoOnProperties” = “1”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
policiesExplorer”HideSCAHealth” = “1”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
PoliciesExplorer”HideSCAHealth” = “1”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
PoliciesAssociations”LowRiskFileTypes” = “.zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;
.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.log;”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
PoliciesAttachments”SaveZoneInformation” = “1”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
PoliciesAttachments”HideZoneInfoOnProperties” = “1”
Megoldás
Windows Defender és a vírusírtók naprakészen tartása.
Támadás típusa
Hijacking (Visszaélés)Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com