Összefoglaló
A Miancha trójai azon állományok segítségével hajtja végre a tevékenységeit, amelyek a fertőzés során a Windows Temp könyvtárába kerülnek be. Ez egy kétlépcsős károkozási folyamat.
Az első lépésben a távoli kiszolgálóhoz csatlakozik, arra adatokat tölt fel és parancsokat fogad. A hálózati beállításokra és az operációs rendszerre vonatkozó információkra kíváncsi.
A második lépésben további fájlokat szerez be, amelyek titkosítva kerülnek a számítógépre. A dekódolást követően számos ActiveX-vezérlő jelenik meg a Windows Temp könyvtárban.
A Miancha trójai olyan műveleteket hajt végre, ami nem kelt feltűnést. A Temp könyvtárba kerülő .ocx kiterjesztésű fájl utalhat a fertőzésre.
Leírás
1. A következő állományokat hozza létre:
%Windir%.ini
%Windir%Tempinstall.ocx
%Windir%Tempinstructions.pdf
%Windir%Tempinstructions64.pdf
2. Az alábbi értékeket hozzáadja a regisztrációs adatbázishoz:
HKUSERS.defaultSoftwareClassesCLSID{B12AE898-D056-4378-A844-6D393FE37956}InProcServer32@ = expand:”C:WINDOWStempinstall.ocx”
HKUSERS.defaultSoftwareClassesCLSID{B12AE898-D056-4378-A844-6D393FE37956}InProcServer32″ThreadingModel” = “Apartment”
3. Csatlakozik egy távoli kiszolgálóhoz a 443-es TCP-porton keresztül.
4. A rendszerinformációkat összegyűjti majd kiszivárogtatja:
– a számítógép neve
– IP-cím
– a processzor típusa
– az operációs rendszer verziója.
5. Titkosított fájlokat tölt le az interneten keresztül:
6. A titkosított állományokat dekódolja, majd a következők szerint menti le:
%Windir%Temppamtrop.ocx
%Windir%Tempoiduas.ocx
%Windir%Tempoedivs.ocx
%Windir%Tempsecivress.ocx
%Windir%Temptidegers.ocx
%Windir%Tempssecorps.ocx
%Windir%Tempdraobyeks.ocx
%Windir%Templlehss.ocx
%Windir%Tempelifs.ocx
%Windir%Tempneercss.ocx
Megoldás
Vírusírtó naprakész használata.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Other (Egyéb)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com