Összefoglaló
A Sorcurat trójai káros kód vált ismertté, amely távolról vezérelhető módon végzi kártékony tevékenységeit. Ezek alapvetően egy hátsó kapu kiépítésére, rendszermanipulációkra és adatlopásokra terjednek ki. A károkozó a webböngészőkből és az FTP-kliensekből is képes hitelesítő adatokat kigyűjteni, majd kiszivárogtatni azokat.
Leírás
A trójai a következő feladatok elvégzésére utasítható:
- fájlműveletek,
- fájlok le-, illetve feltöltése,
- proxy létrehozása,
- folyamatok lekérdezése, indítása, leállítása,
- billentyűleütések naplózása,
- felvételek készítése webkamerával,
- a Windows termékkulcsának lekérdezése,
- távoli vezérlés biztosítása,
- parancssoros felület elérhetővé tétele,
- a számítógép újraindítása, illetve leállítása.
Technikai részletek:
1. Létrehozza a következő állományokat:
%App Data%GamerViewsqlite3.dll
%App Data%GamerViewdatabase.sqlite-journal
%App Data%GamerViewdatabase.sqlite
%App Data%MicrosoftSpeechAudioDriver.exe
2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows”load” = “%App Data%MicrosoftSpeechAudioDriver.exe”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Audio HD Driver” = “%App Data%MicrosoftSpeechAudioDriver.exe”””
3. Kapcsolódik egy távoli vezérlőszerverhez a 10134-es porton keresztül, majd egy hátsó kaput létesít.
4. Várakozik a támadók parancsaira, amelyeket rögtön végrehajt.
5. Hitelesítő adatokat gyűjt a következő alkalmazásokból:
- Chrome
- Core FTP
- FileZilla
- Internet Explorer
- Opera
- WinSCP
- Yandex
- Pidgin
- Firefox
- JDownloader
- Thunderbird
Támadás típusa
Information disclosure (Információ/adat szivárgás)Misconfiguration (Konfiguráció)
Trójai
backdoor
Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com