Összefoglaló
W32.Plagent egy olyan féreg, amely hátsó ajtót nyit a fertőzött számítógépen. A terjedéshez felmásolja magát a cserélhető meghajtókra.
Leírás
Amikor a féreg lefut, létrehozza az alábbi fájlokat:
-
%Windir%83D2CDE2-8311-40CB-B51D-EBE20FA803D1.dll
-
%Temp%spoolhost.exe
-
%ProgramFiles%Common FilesSystemcoreshell.dll
Ezt követően a féreg a következő bejegyzés hozza létre a registery-ben:
HKEY_CLASSES_ROOTCLSID{EF7652A4-98EF-5031-226B-11456C96A7EA}InProcServer32″(Default)” = “%ProgramFiles%Common FilesSystem\coreshell.dll”
Ezután a féreg csatlakozik a következő távoli helyhez:
[http://]adobeincorp.com/we[REMOVED]
A káros szoftver megkapja és feldolgozza a távoli helyről érkező parancsokat.
Cserélhető meghajtókon terjesztheti magát.
Megoldás
Telepítsen vírusvédelmi programot és tűzfalat, illetőleg rendszeresen frissítse azokat.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com