Összefoglaló
A Spygate egy szerver alkalmazásnak próbálja álcázni magát, és ennek megfelelően egy Server.exe állomány formájában kerül a számítógépekre. Összegyűjti a rendszerinformációkat, amelyeket kiszivárogtat a terjesztői számára. A támadók ezek alapján adhatják ki a károkozónak a feladatokat.
Leírás
A Spygate trójai egy távolról vezérelhető kártékony program. A terjesztői egy szerveren elhelyezett konfigurációs állomány segítségével határozhatják meg azt, hogy a károkozónak az áldozatául eső rendszereken milyen műveleteket kell végrehajtania. Egyebek mellett az alábbi feladatok elvégzésére alkalmas:
- fájlműveletek
- USB-s adathordozók megfertőzése
- folyamatok kezelése
- böngészők által eltárolt adatok kiexportálása
- képernyőképek lementése
- billentyűleütések naplózása
- a számítógép újraindítása
- a felhasználó kijelentkeztetése
- a trójai állományainak frissítése, illetve eltávolítása.
1. Létrehozza a következő állományokat:
%SystemDrive%Documents and SettingsAll UsersApplication DataMicroServer.exe
%Temp%MicroServer.exe
%SystemDrive%Documents and SettingsAll UsersMicroServer.exe
%SystemDrive%Documents and SettingsAdministratorStart MenuProgramsStartup[véletlenszerű karakterek].exe
2. További fájlokat másol be az alábbi mappába:
%SystemDrive%Documents and SettingsAll UsersTemplates
3. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Server” = “[a trójai elérési útvonala és fájlneve].exe”
4. Összegyűjti az alábbi információkat:
– az operációs rendszer verziója
– nyelvi beállítások
– a számítógép neve
5. Csatlakozik egy távoli kiszolgálóhoz.
6. Konfigurációs adatokat tölt le, amelyek alapján további nemkívánatos műveleteket hajt végre.
Megoldás
Távolítsa el a fertőzést vírusirtó segítségével.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.isbk.hu