Összefoglaló
A Scieron.B trójai létrehoz néhány fájlt majd ezután módosítja a regisztrációs adatbázist, hogy a számítógép újraindítását követően be tudjon kerülni a memóriába Windows-os szolgáltatásként. A szolgáltatást úgy tünteti fel, mintha a biztonságos bejelentkezést segítené elő.
A trójai kapcsolódik egy távoli szerverhez és azon keresztül fogadja az utasításokat. A támadók elérhetik, hogy a károkozón keresztül távoli parancssorhoz szerezhetnek hozzáférést. A kártevő segítségével a folyamatokat a rendszereket és a számítógépeken található fájlokat feltérképezhetik. További sajátossága a trójainak, hogy a felkeresett URL-eket lementi, valamint a webböngészőket képes monitorozni.
Leírás
1.A következő állományokat hozza létre:
%UserProfile%AppDataLocalTemphidsvc.dat
%Windir%Drivershidsvc.sys
%Windir%seclog32.dll
%System%msoert32.dll
2.Az alábbi állományt manipulálja:
%System%sysprepCRYPTBASE.DLL
3.A következő értéket hozzáadja regisztrációs adatbázishoz:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesseclogonParameters”ServiceDll” = “%Windir%seclog32.dll”
4.Előre meghatározott távoli kiszolgálóhoz csatlakozik.
5.Nyit egy hátsó kaput, és a támadók parancsaira várakozik.
Támadás típusa
Information disclosure (Információ/adat szivárgás)System access (Rendszer hozzáférés)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com