Tepmim trójai

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Tepmim trójai alapvetően egy olyan számítógépes károkozó, amely hátsó kaput létesít az áldozatául eső rendszereken. Mindezt a 443-as porton keresztül teszi meg, vagyis titkosított webes adatforgalomba próbál elrejtőzni, ezzel megnehezítve a hálózatalapú felderítését.

Leírás

A Tepmim a Windows átmeneti fájlok tárolására szolgáló (Temp) könyvtárába másolja be a legfontosabb állományait, miközben azt próbálja elhitetni, hogy egy szövegszerkesztő alkalmazásról van szó. A valóságban azonban egy olyan kártevő kerül a PC-re, amely távolról a következő feladatok elvégzésére vehető rá:
– parancssori műveletek végrehajtása
– fájlműveletek (fájltörlés is)
– fájlok le-, illetve feltöltése
– folyamatok létrehozása
– rendszerinformációk összegyűjtése.

Technikai részletek:

1. Létrehozza a következő állományokat:

%Temp%svohost.bat

%Temp%ffice1xWINWORD.EXE

%Temp%ffice1xCACHED[a számítógép neve]_C_[…].DIR

%Temp%install.reg

%Temp%BACNK.TMP

%Temp%TEMPX.CPL

%Temp%svehost.exe

%Windir%system32nppmgmt.dll

%SystemDrive%C.lnk

%SystemDrive%recyclerTempTEMPX.CPL

%DriveLetter%TEMPX.CPL

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList”%SystemDrive%WINDOWSSystem32svchost.exe” = “%SystemDrive%WINDOWSSystem32svchost.exe:*:Enabled:DNS”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_RASAUTO000″Service” = “RasAuto”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_RASAUTO000″Legacy” = “1”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_RASAUTO000″DeviceDesc” = “Remote Access Auto Connection Manager”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_RASAUTO000″ConfigFlags” = “0”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_RASAUTO000″ClassGUID” = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_RASAUTO000″Class” = “LegacyDriver”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_RASAUTO”NextInstance” = “1”

HKEY_LOCAL_MACHINEsoftwareMicrosoftWindowsCurrentVersionRun”WordTray” = “%Temp%ffice1xWINWORD.EXE”

HKEY_LOCAL_MACHINESAMSAMDomainsBuiltinAliasesMembersS-1-5-21-1085031214-113007714-141700133300003EE”@” = “expand:”?0?””

HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNamesiusr_debug”@” = “3ee”

3. A regisztrációs adatbázisban manipulálja a következő értékeket:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfile”EnableFirewall” = “0”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasAutoParameters”ServiceDll” = “expand:”%Windir%system32nppmgmt.dll””

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasAuto”Start” = “2”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”forceguest” = “0”

HKEY_LOCAL_MACHINESAMSAMDomainsBuiltinAliasesMembersS-1-5-21-1085031214-113007714-1417001333″@” = “5”

HKEY_LOCAL_MACHINESAMSAMDomainsBuiltinAliases0000221″C” = “[…]”

HKEY_LOCAL_MACHINESAMSAMDomainsBuiltinAliases0000220″C” = “[…]”

HKEY_LOCAL_MACHINESAMSAMDomainsBuiltin”F” = “[…]”

HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers”@” = “7”

HKEY_LOCAL_MACHINESAMSAMDomainsAccountGroups0000201″C” = “[…]”

HKEY_LOCAL_MACHINESAMSAMDomainsAccount”F” = “[…]”

4. Csatlakozik egy távoli kiszolgálóhoz a 443-as porton keresztül.

5. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.

Támadás típusa

Szükséges hozzáférés

Hivatkozások

OTHER:ISBK.HU
Egyéb referencia: www.symantec.com