Wensal trójai

CH azonosító

CH-12013

Angol cím

Backdoor.Wensal

Felfedezés dátuma

2015.02.16.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Wensal trójai egy Windows-os sebezhetőséget használ ki a fertőzés során. Ezt a hibát a Microsoft már 2012-ben kijavította az MS12-027-es biztonsági közleményének keretében. Ezért leginkább azok a számítógépek veszélyeztetettek, amelyek nem tartalmazzák a biztonsági frissítéseket.

A Wensal két komponensből épül fel. Az egyik egy hátsó kaput nyit a számítógépeken, és rendszerinformációkat szivárogtat ki. A másik összetevő pedig további kártékony programok PC-kre való feljuttatását teszi lehetővé, vagyis a vírusterjesztők dolgát igyekszik megkönnyíteni.

A Wensal jelenlegi variánsa a felhasználók bizalmas adatait nem fürkészi ki, elsősorban a számítógéppel és az operációs rendszerrel kapcsolatos adatokat, paramétereket juttatja el a készítőihez.

Leírás

1. Létrehozza a következő állományt:
%Temp%smsss.exe
%Temp%M.T
%Temp%M.B

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun”smsss” = “%Temp%smsss.exe”

3. Csatlakozik egy távoli kiszolgálóhoz. Ehhez az 53-as portot is felhasználja.

4. Kiszivárogtatja az alábbi információkat:
– az operációs rendszer verziója
– a számítógép neve
– felhasználónév
– hálózati paraméterek
– egyéb hardveradatok.

5. Fájlokat tölt le, illetve futtat.

6. Különféle állományokat tölt fel a vezérlőszerverére.

7. További kártékony programokat telepít fel.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.