Összefoglaló
A Volgmer.B trójai Hangul Word Processor (HWP) dokumentumok révén terjed. A HWP állományokat feldolgozó szövegszerkesztő alkalmazást a dél-koreai Hamcom vállalat fejleszti az ottani, helyi és nyelvi sajátosságoknak megfelelően. Ezért a trójairól joggal feltételezhető, hogy elsősorban erre a régióra lett kiélezve.
Leírás
A Volgmer alapvetően két feladatot lát el. Egyrészt rendszerinformációkat gyűjt össze, illetve szivárogtat ki a számítógépre, a Windows-ra, a hálózati beállításokra és a folyamatokra vonatkozóan. Másrészt pedig egy hátsó kaput létesít a 443-as TCP porton keresztül. Ennek révén egyebek mellett a következő parancsok adhatók ki számára:
- fájlműveletek
- parancssorból futtatható utasítások végrehajtása
- folyamatok leállítása
- fájlok feltöltése és letöltése
- hálózati portok nyitása
- a trójai fájljainak frissítése
- a trójai eltávolítása
Technikai részletek:
1. Létrehozza a következő állományokat:
%AllUsersProfile%Start MenuProgramsStartupMpCmdRun.exe
%Temp%PMS[SEQUENTIAL NUMBER].tmp
%Temp%AdobeArm.exe
%Temp%svchost.exe
%Temp%qsm.bat
%Temp%msdtcvtre.bat
%Temp%zawq.bat
2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShell FoldersCommon Startup” = “C:Documents and SettingsAll UsersStart MenuProgramsStartup
3. Csatlakozik egy távoli kiszolgálóhoz a 443-as TCP porton keresztül.
4. Nyit egy hátsó kaput.
5. Összegyűjti a számítógépre, az operációs rendszerre, a hálózatra és a folyamatokra vonatkozó legfontosabb információkat.
6. Az összegyűjtött adatokat kiszivárogtatja.
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
- Használjon offline biztonsági mentést!
- Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool.
Támadás típusa
Information disclosure (Információ/adat szivárgás)backdoor
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu