Összefoglaló
A Wecoym trójai egy meglehetősen funkciógazdag kártékony programnak számít, amely türelmetlenül várja a terjesztői által kiadott parancsokat. Vagyis egy hátsó kaput létesít a számítógépeken, amelyen keresztül adatokat is képes kiszivárogtatni.
A Wecoym a következő feladatok elvégzésére utasítható:
- fájlműveletek
- fájlok letöltése és futtatása
- billentyűleütések naplózása
- DNS-manipulációk
- hálózati adatforgalom átirányítása
- rendszerbeállítások manipulálása
- rendszerinformációk összegyűjtése
- a saját állományainak frissítése vagy eltávolítása.
A Wecoym Windows-os rendszerfolyamatokat fertőz meg, és azok mögül végzi a nemkívánatos tevékenységeit.
Leírás
1. Létrehozza a következő állományokat:
%UserProfile%Application DataRoaming##[véletlenszerű karakterek]##[véletlenszerű karakterek].exe
2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”##[véletlenszerű karakterek].exe” = “%UserProfile%Application DataRoaming##[véletlenszerű karakterek]##[véletlenszerű karakterek].exe”
3. Megfertőzi az alábbi folyamatokat:
winlogon.exe
explorer.exe
4. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.
5. Csatlakozik távoli kiszolgálókhoz a 8586-os TCP porton keresztül.
6. Nyit egy hátsó kaput, és várakozik a támadók parancsaira, amelyeket rögtön végrehajt.
Megoldás
Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
backdoor
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu