Összefoglaló
A Tesyong károkozó a számítógépeken hátsó kaput nyit, amelyen keresztül adatokat képes kiszivárogtatni, valamint végrehajta a terjesztő által kiadott utasításokat. A kártevő hatástalanítja a Windows tűzfalat, hogy ne legyen előtte akadály. Mindezt úgy teszi, hogy hozzáadja magát a megbízható alkalmazások listájához, így nem fog riasztás keletkezni, amikor a rosszindulatú alkalmazás egy távoli vezérlőszerverhez kapcsolódik.
A trójai az alapján működik, hogy az interneten keresztül konfigurációs állományt szerez be. A támadók előírhatják a károkozó teendőit, illetve további ártalmas összetevőket töltsön le a fertőzött számítógépekre.
A trójai eltávolítása nem nehéz feladat, de az előtt kell megtenni az eltávolítását mielőtt a károkozó további ártalmas fájlokat juttatna fel a számítógépre.
Leírás
1. A kártevő a következő állományokat hozza létre:
%programfiles%microsoft temsyshongsy.exe.
2. Az alábbi értékeket adja hozzá a regisztrációs adatbázishoz:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunHongSy=”c:
program filesmicrosoft temsyshongsy.exe”
3. Az alábbi fájlt hozza létre:
[a trójai könyvtára]kill.bat
4. Beregisztrálja saját magát a megbízható alkalmazások közé és a Windows beépített tűzfalának beállításait manipulálja.
5. A következő értékeket hozzáadja a regisztrációs adatbázishoz:
HKLMSYSTEMCurrentControlSetServicesSharedAccessParameters
FirewallPolicyStandardProfileAuthorizedApplicationsList”c:
program filesmicrosoft temsyshongsy.exe:*:enabled:hongsy”=”C:Program FilesMicrosoft TemSysHongSy.exe”
6. Egy távoli kiszolgálóhoz csatlakozik.
7. A terjesztői számára jelenti a fertőzés tényét.
8. Konfigurációs adatokat tölt le.
9. Ártalmas programokat tölt le és telepít fel a rendszerre.
10. Fogadja és végrehajtja a terjesztő által kiadott parancsokat.
Megoldás
Támadás típusa
Information disclosure (Információ/adat szivárgás)Privilege escalation (jogosultság kiterjesztés)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.microsoft.com
Egyéb referencia: www.microsoft.com