Összefoglaló
A Cozer trójai az adatlopásra alkalmas kártékony programok közé sorolható.
Leírás
A tevékenységét azonban nem a szokványos módon végzi, legalábbis abban az értelemben nem, hogy nem kizárólag a megfertőzött számítógépeken található adatokra jelent veszélyt. A károkozó ugyanis teljes hálózatokat képes feltérképezni, és különösen tartományi környezetekben érzi elemében magát. Amikor bekerül egy hálózatba, akkor felkutatja az esetlegesen elérhető tartományvezérlőket, illetve az Exchange Servereket, majd azokról értékes információkat igyekszik bezsebelni.
A Cozer több esetben teljesen ártalmatlan segédprogramokat használ fel a céljai elérése érdekében, ami a felismerését megnehezítheti. A szerverekről elsősorban felhasználói fiókokkal kapcsolatos adatokat kérdez le, amiket tömörített formában juttat el a terjesztőihez. A trójai az összegyűjtött adatokat a OneDrive-ra tölti fel.
Technikai részletek
1. Létrehozza a következő állományokat:
%CurrentDirectory%wauditdc
%CurrentDirectory%wauditGPrun
%CurrentDirectory%wauditGPLinks
2. Letörli az alábbi fájlokat (amennyiben azok léteznek):
%UserProfile%Application DataATI_Subsystem*_*_*.exe
%UserProfile%Local SettingsTempChromeUpdate.exe
3. Felmásolja a rendszerre a következő fájlokat:
Psexec.exe
rar.exe
sdelete.exe
diag.ps1
4. Rendszerinformációkat gyűjt össze:
– tartományvezérlők neve
– Exchange Server neve
– a hálózatban található számítógépek neve
– helyi és tartományi fiókokhoz tartozó adatok.
5. A feltárt adatokat lementi a következő állományba:
%CurrentDirectory%waudit
6. Az adatokkal teli fájlját betömöríti az alábbiak szerint:
%CurrentDirectory%[véletlenszerű karakterek].tmp
7. Az állományát feltölti az internetre a OneDrive segítségével.
Megoldás
Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
Támadás típusa
Information disclosure (Információ/adat szivárgás)System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu
