SilentBrute trójai vírus

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Vista, Windows XP

Összefoglaló

A Silentbrute egy olyan trójai vírus, amely hátsó bejáratot (backdoor) nyit a rendszeren és fájlokat tölt le a kompromittálódott számítógépre.

Leírás

A Silentbrute egy olyan trójai vírus, amely hátsó bejáratot (backdoor) nyit a rendszeren és fájlokat tölt le a kompromittálódott számítógépre.

A trójai vírus a futtatásánál a következő könyvtárszerkezetekbe másolja saját magát:

%UserProfile%Application DataSystem[VÍRUS NEVE].exe

Ezután a vírus létrehozza a következő registry bejegyzést, ami által minden Windows elindulásnál automatikun futtatásra kerül:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[THREAT NAME]” =
“%UserProfile%Application DataSystem[VÍRUS NEVE].exe”

Majd a trójai vírus csatlakozik egy command-and-control (C&C) szerverre  a következő URL-t használva, és vár a parancsokra:

[C&C SZERVER CÍM]/cmd.php

Ahol [C&C SZERVER CÍM] az alábbiak egyike:

• my.ololo.in
• bestsexycams.biz/brut
• u.ololo.in

Ezen kívül letölt egy listát a leggyakrabban használt felhasználónevekkel és jelszavakkal, és  brute force támadással (próbálgatásos támadás) próbálkozik a célzott számítógépen.

A Trójai a használható hitelesítő adatokat (felhasználónevek, jelszavak) visszaküldi a C&C szerverre az alábbi URL-ek valamelyikére:

• [http://][C&C SERVER ADDRESS]/bruteres.php
• [http://][C&C SERVER ADDRESS]/checkres.php

Megoldás

Vírusírtók használata.

Támadás típusa

Hatás

Szükséges hozzáférés