Összefoglaló
A Krast trójai “C” betűjelű változata olyan elektronikus levelekben terjed, amelynek melléklete PDF vagy Excel állományt tartalmaz. Amikor a felhasználó megnyitja a fájlt, akkor a trójai kódja bekerül a memóriába, és elkezdi a nemkívánatos tevékenységet végrehajtani. Létrehoz egy fájlt, a regisztrációs adatbázis módosításával eléri, hogy a Windows újraindítása után is életképes maradjon.
A Krast egy távoli szerverhez kapcsolódik, különböző állományokat tölt le. Rendszerinformációkat tölt fel a kiszolgálóra, ezáltal a számítógép nevét, IP-címét és a Windows legfontosabb paramétereit is kiszivárogtatja.
Leírás
1. Létrehozza a következő állományt:
%ProgramFiles%Common Files[véletlenszerű karakterek]
2. A regisztrációs adatbázishoz adatbázishoz a következő értékeket adja hozzá:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”common””%SystemDrive% PROGRA~1COMMON~1[véletlenszerű karakterek]”
3. Létrehozza a mutexet, hogy csak egy példányban fusson a számítógépen.
4. Nyit egy hátsó kaput, a 43-as porton keresztül csatlakozik egy távoli kiszolgálóhoz, amiről ASP oldalakat tölt le.
5. Különféle fájlokat letölt az interneten keresztül.
6. A rendszerinformációkat összegyűjti és kiszivárogtatja:
– a számítógép neve
– IP-cím
– a Windows verziója.
Megoldás
Használjon tűzfalat, hogy blokkolja az összes bejövő kapcsolatot az internet felől.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.symantec.com