CH azonosító
CH-9666Angol cím
SilentBrute trojan virusFelfedezés dátuma
2013.08.07.Súlyosság
AlacsonyÉrintett rendszerek
MicrosoftWindows 2000
Windows 7
Windows 98
Windows Millenium
Windows NT
Windows Vista
Windows XP
Érintett verziók
Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Vista, Windows XP
Összefoglaló
A Silentbrute egy olyan trójai vírus, amely hátsó bejáratot (backdoor) nyit a rendszeren és fájlokat tölt le a kompromittálódott számítógépre.
Leírás
A Silentbrute egy olyan trójai vírus, amely hátsó bejáratot (backdoor) nyit a rendszeren és fájlokat tölt le a kompromittálódott számítógépre.
A trójai vírus a futtatásánál a következő könyvtárszerkezetekbe másolja saját magát:
%UserProfile%Application DataSystem[VÍRUS NEVE].exe
Ezután a vírus létrehozza a következő registry bejegyzést, ami által minden Windows elindulásnál automatikun futtatásra kerül:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[THREAT NAME]” =
“%UserProfile%Application DataSystem[VÍRUS NEVE].exe”
Majd a trójai vírus csatlakozik egy command-and-control (C&C) szerverre a következő URL-t használva, és vár a parancsokra:
[C&C SZERVER CÍM]/cmd.php
Ahol [C&C SZERVER CÍM] az alábbiak egyike:
- my.ololo.in
- bestsexycams.biz/brut
- u.ololo.in
Ezen kívül letölt egy listát a leggyakrabban használt felhasználónevekkel és jelszavakkal, és brute force támadással (próbálgatásos támadás) próbálkozik a célzott számítógépen.
A Trójai a használható hitelesítő adatokat (felhasználónevek, jelszavak) visszaküldi a C&C szerverre az alábbi URL-ek valamelyikére:
- [http://][C&C SERVER ADDRESS]/bruteres.php
- [http://][C&C SERVER ADDRESS]/checkres.php
Megoldás
Vírusírtók használata.
Támadás típusa
Authentication Issues (Hitelesítés)Information disclosure (Információ/adat szivárgás)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)