Érintett rendszerek
MicrosoftWindows 2000
Windows 7
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP
Érintett verziók
Windows 98, Windows 95, Windows XP, Windows Server 2008, Windows 7, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
Összefoglaló
A W32.Extrat.B egy olyan kártevő, amely eltávolítható meghajtókon és Peer-2-Peer fájlmegosztó hálózatokon keresztül terjed.
Leírás
A kártevő általában egy fertőzött Microsoft Word dokumentumon keresztül kerül a rendszerre, amelyben pl. a következő sérülékenységet használják ki:
- Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability (CVE-2012-0158)
A kártevő a következő könyvtárakat, fájlokat és registry bejegyzéseket hozza létre:
- %UserProfile%Application DataMicrosoftWindowsVDB0Wd7T
- %Windir%InstallDir
- %UserProfile%Application DataMicrosoftWindowsVDB0Wd7TVDB0Wd7T.dat
- %UserProfile%Application DataMicrosoftWindowsVDB0Wd7TVDB0Wd7T.nfo
- %UserProfile%Application DataMicrosoftWindowsVDB0Wd7TVDB0Wd7T.svr
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”HKLM” = “expand:”C:WINDOWSInstallDirServer.exe””
- HKEY_CURRENT_USERSoftwareVDB0Wd7T”ServerStarted” = “expand:”2/12/2014 7:23:32 AM””
- HKEY_CURRENT_USERSoftwareVDB0Wd7T”InstalledServer” = “expand:”C:WINDOWSInstallDirServer.exe””
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”HKCU” = “expand:”C:WINDOWSInstallDirServer.exe””
A következő tevékenységeket hajthatja végre:
- Listázza a megnyitott ablakokat és futó folyamatokat
- Elindít és leállít folyamatokat
- Módosít szolgáltatásokat
- Módosítja a Windows registry-t
- Fájlokat mozgat
- Billentyűleütéseket rögzít
- Aktiválja a webkamerát
- Információkat, jelszavakat gyűjt
- Távoli shell-t hoz létre
- Manipulálja a clipboard tartalmát
Hivatkozások
Egyéb referencia: www.symantec.com