Összefoglaló
A Spasip trójai legérdekesebb jellemzője, hogy különféle fejlesztőeszközök nevében terjed. Így például a Visual Studio, valamint a FoxPro ismertségét is felhasználja arra, hogy ne keltsen feltűnést a fertőzött rendszereken. Amikor a saját állományait sikerül feljuttatnia egy PC-re, akkor azon alaposan feltérképezi a fájlrendszert, és különös figyelmet szentel az Asztalon, illetve a Dokumentumok mappában lévő fájloknak. Ezekből a könyvtárakból dokumentumokat, képeket másol át a saját mappájába.
A Spasip rendszerinformációk bezsebelésére is alkalmas. Alapvető paramétereket kérdez le: a számítógép nevét, az operációs rendszer verzióját, az IP-címet stb. Az összegyűjtött adatokat pedig kiszivárogtatja a terjesztői számára.
A Spasip folyamatosan figyeli a felhasználó által csatlakoztatott, cserélhető adathordozókat, amelyekre felmásolja a kártékony állományait.
Leírás
1. Létrehozza a következő állományokat:
%UserProfile%My DocumentsVisual Studio 2005MSDEVFoxProVFP6.EXE
%UserProfile%My DocumentsVisual Studio 2005MSDEVFoxProDocsInfo.txt
%UserProfile%My DocumentsVisual Studio 2005MSDEVFoxProDocsldfldmap.txt
%UserProfile%My DocumentsVisual Studio 2005MSDEVFoxProDocsldfldsysinfo.txt
%UserProfile%My DocumentsVisual Studio 2005MSDEVFoxProKB947652-ver.log
%UserProfile%My DocumentsVisual Studio 2005MSDEVFoxPro~ld.exe
%AllUsersProfile%Start MenuProgramsStartupVFP6.lnk
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftShipTr”lnk” = “WGQ7/mol”
3. Feltérképezi a fájlrendszert, és az így kapott információkat lementi a következők szerint:
%UserProfile%My DocumentsVisual Studio 2005MSDEVFoxProDocsldfldmap.txt
4. Rendszerinformációkat gyűjt össze:
– a Windows verziója
– a számítógép neve
– IP-cím
– folyamatok listája
5. A fenti adatokat a következők szerint tárolja le:
%UserProfile%My DocumentsVisual Studio 2005MSDEVFoxProDocsldfldsysinfo.txt
6. Az Asztalon és a Dokumentumok mappában dokumentumokat, képeket és PGP-állományokat keres.
7. Lekérdezi az utoljára megnyitott állományokat.
8. A fenti fájlokat bemásolja az alábbi mappába:
%UserProfile%My DocumentsVisual Studio 2005MSDEVFoxProDocsldf
9. Felmásolja a saját állományait a cserélhető meghajtókra.
Megoldás
Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
backdoor
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com