Összefoglaló
A Specfix.C trójai a fertőzött rendszeren egy hátsó kaput létesít. Ezen keresztül képes fogadni a terjesztői által kiadott utasításokat, amelyek többek között kiterjedhetnek fájlok letöltésére és futtatására is.
Leírás
Működése során, az általa nyitott hátsó kapun a károkozó további, nemkívánatos kódok terjesztésébe tud bekapcsolódni. Emellett – ugyancsak a hátsó kapun keresztül – adatszivárogtatásra is képes.
Technikai részletek:
1. Létrehozza a következő állományt:
%UserProfile%Application DataHelpWINCHAT.EXE
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”WINCHAT” = “%UserProfile%Application DataHelpWINCHAT.EXE”
3. Csatlakozik egy távoli kiszolgálóhoz.
4. Rendszerinformációkat szivárogtat ki:
– IP-cím
– a számítógép neve
– proxy és egyéb hálózati beállítások.
5. Nyit egy hátsó kaput, és fogadja a terjesztői által kiadott parancsokat.
Támadás típusa
Hijacking (Visszaélés)Information disclosure (Információ/adat szivárgás)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com