Összefoglaló
A Typideg.B trójai elleni védekezés során nem kizárólag a víruskeresők jutnak szerephez, hanem a rendszeres biztonsági frissítések is. Ennek oka, hogy a kártékony program szoftveres sérülékenységeket is megpróbál kihasználni a számítógépek megfertőzése során. A jelenlegi variánsa a Microsoft Word alkalmazásban korábban felfedezett és már javított sebezhetőségeket igyekszik kiaknázni. Ezért a károkozó támadásához szükséges biztonsági rés a biztonsági frissítések telepítésével könnyedén kiiktatható.
A Typideg.B a Windows átmeneti fájlok tárolására szolgáló könyvtárába kerül be word.exe néven. Ezt követően gondoskodik arról, hogy a számítógép újraindítása után is be tudjon töltődni a memóriába. Amint ezzel végez, akkor nyit egy hátsó kaput, és várakozik a támadók parancsaira, amiket rögtön végrehajt.
Leírás
1. Létrehozza a következő állományokat:
%Temp%word.exe
2. A regisztrációs adatbázishoz hozzáadja a következő értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”cssauth”= “%Temp%word.exe”
3. Csatlakozik egy előre meghatározott távoli kiszolgálóhoz.
4. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.
5. Végrehajtja a támadók által kijelölt feladatokat.
Megoldás
Frissítse a biztonsági szofverei adatbázisát.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com