Tepmim trójai

CH azonosító

CH-11768

Angol cím

Tepmim trojan

Felfedezés dátuma

2014.10.26.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Tepmim trójai alapvetően egy olyan számítógépes károkozó, amely hátsó kaput létesít az áldozatául eső rendszereken. Mindezt a 443-as porton keresztül teszi meg, vagyis titkosított webes adatforgalomba próbál elrejtőzni, ezzel megnehezítve a hálózatalapú felderítését.

Leírás

A Tepmim a Windows átmeneti fájlok tárolására szolgáló (Temp) könyvtárába másolja be a legfontosabb állományait, miközben azt próbálja elhitetni, hogy egy szövegszerkesztő alkalmazásról van szó. A valóságban azonban egy olyan kártevő kerül a PC-re, amely távolról a következő feladatok elvégzésére vehető rá:
– parancssori műveletek végrehajtása
– fájlműveletek (fájltörlés is)
– fájlok le-, illetve feltöltése
– folyamatok létrehozása
– rendszerinformációk összegyűjtése.

Technikai részletek:

1. Létrehozza a következő állományokat:

%Temp%svohost.bat

%Temp%ffice1xWINWORD.EXE

%Temp%ffice1xCACHED[a számítógép neve]_C_[…].DIR

%Temp%install.reg

%Temp%BACNK.TMP

%Temp%TEMPX.CPL

%Temp%svehost.exe

%Windir%system32nppmgmt.dll

%SystemDrive%C.lnk

%SystemDrive%recyclerTempTEMPX.CPL

%DriveLetter%TEMPX.CPL


2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList”%SystemDrive%WINDOWSSystem32svchost.exe” = “%SystemDrive%WINDOWSSystem32svchost.exe:*:Enabled:DNS”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_RASAUTO000″Service” = “RasAuto”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_RASAUTO000″Legacy” = “1”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_RASAUTO000″DeviceDesc” = “Remote Access Auto Connection Manager”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_RASAUTO000″ConfigFlags” = “0”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_RASAUTO000″ClassGUID” = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_RASAUTO000″Class” = “LegacyDriver”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_RASAUTO”NextInstance” = “1”

HKEY_LOCAL_MACHINEsoftwareMicrosoftWindowsCurrentVersionRun”WordTray” = “%Temp%ffice1xWINWORD.EXE”

HKEY_LOCAL_MACHINESAMSAMDomainsBuiltinAliasesMembersS-1-5-21-1085031214-113007714-141700133300003EE”@” = “expand:”?0?””

HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNamesiusr_debug”@” = “3ee”


3. A regisztrációs adatbázisban manipulálja a következő értékeket:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfile”EnableFirewall” = “0”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasAutoParameters”ServiceDll” = “expand:”%Windir%system32nppmgmt.dll””

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasAuto”Start” = “2”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”forceguest” = “0”

HKEY_LOCAL_MACHINESAMSAMDomainsBuiltinAliasesMembersS-1-5-21-1085031214-113007714-1417001333″@” = “5”

HKEY_LOCAL_MACHINESAMSAMDomainsBuiltinAliases0000221″C” = “[…]”

HKEY_LOCAL_MACHINESAMSAMDomainsBuiltinAliases0000220″C” = “[…]”

HKEY_LOCAL_MACHINESAMSAMDomainsBuiltin”F” = “[…]”

HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers”@” = “7”

HKEY_LOCAL_MACHINESAMSAMDomainsAccountGroups0000201″C” = “[…]”

HKEY_LOCAL_MACHINESAMSAMDomainsAccount”F” = “[…]”

4. Csatlakozik egy távoli kiszolgálóhoz a 443-as porton keresztül.

5. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.