Összefoglaló
A Chenf.A trójai egy Google programnak álcázza magát. A Program Files mappában egy ”googles” mappát létrehoz és bemásol egy Google névvel visszaélő fájlt. A fájl bemásolása után egy távoli kiszolgálóhoz kapcsolódik a 10010-es TCP porton keresztül. A tűzfalakra, hálózatbiztonsági eszközökre fontos szerep hárul, mert a trójai jelenlétére a 10010-es port használata utalhat.
A Chenf.A trójai nyit egy hátsó kaput és ezen keresztül fogadja a támadók parancsait. A trójai a vezérlőszerveréről szerzi be a feladataihoz szükséges információkat, valamint adatokat is kiszivárogtat.
Leírás
1. A következő fájlt hozza létre:
%programfiles%googles669[a trójai fájlneve].exe.
2. Bemásol egy állományt a Windows System könyvtárába:
%System%google_guid.dat
3. A 10010-es porton keresztül csatlakozik egy távoli kiszolgálóhoz.
4. A fertőzés megtörténtéről értesíti a terjesztőit.
5. A támadók parancsait fogadja, amelyeket azonnal végrehajt.
6. Kártékony fájlokat tölt le.
7. A vezérlőszerverére adatokat tölt fel.
Megoldás
Tűzfal használata
Támadás típusa
Information disclosure (Információ/adat szivárgás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.microsoft.com