Összefoglaló
Trojan.Beginto egy trójai, amely hátsó ajtót nyit és fájlokat tölt le a fertőzött számítógépre.
Leírás
A trójai megérkezhet a fertőzött számítógépre, miután letölthető a következő helyről:
- hxxp://58.64.178.77/mpl[REMOVED]
A trójai összetétele a következőkből tevődik össze:
- HTML file
- JAR file
- DLL file
Megjegyzés: A DLL fájl belsejében található a JAR fájl. A HTML fájl betöltéséért felelős a JAR fájlt.
A HTML fájl tartalmazza a base64 kódolású shell kód által használt JAR fájlt.
Ha a JAR fájl betöltödik, akkor dekódolja a base64 kódolású shell kódot.
A JAR fájl betölti az alábbi DLL fájlokat:
- main.dll (32 bites Windows)
- main64.dll (64 bites Windows)
A JAR fájl, akkor hívja a következő:
- Java_Main_inject
A DLL fájl létrehoz egy új notepad.exe folyamatot és befecskendezi a rosszindulatú shell kódot.
A trójai használja a shell kódot – hogy hátsó ajtót nyisson –, azután csatlakozik a következő helyre:
- 58.64.178.77 TCP port 7998
A trójai letölt egy kiegészítő shell kódot, amit szintén befecskendez a notepad.exe folyamatba.
A trójai ezután rosszindulatú tevékenységet végezhet a fertőzött számítógépen.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com