Összefoglaló
A Cozer trójai nagyon ódzkodik a virtualizált környezetektől, amelyekről azt feltételezi, hogy az elemzését hivatottak elősegíteni. Ennél fogva nem fertőzi meg azokat a gépeket, amelyek VMWare, VirtualBox, Parallels Workstation vagy Sandboxie technológiák révén futnak. A valódi, fizikai PC-kre azonban fokozott kockázatot jelent, hiszen azokat távolról vezérelhetővé teszi a támadók számára.
A Cozer egy olyan hátsó kaput nyit az áldozatául eső rendszereken, amin keresztül a terjesztői fájlokat tölthetnek le, programokat futtathatnak, vagy éppen számukra nem tetsző folyamatokat állíthatnak le. Mindezek mellett lehetőségük nyílhat a számítógéppel, illetve az operációs rendszerrel kapcsolatos legfontosabb paraméterek begyűjtésére.
Leírás
1. Létrehozza a következő állományokat:
%Temp%hppscan854.pdf
%Temp%reader_sl.exe
%UserProfile%Application DataATI_Subsystematiadlxx.dll
%UserProfile%Application DataATI_Subsystematicfx32.bin
%UserProfile%Application DataATI_Subsystematicfx32.dll
%UserProfile%Application DataATI_Subsystemclinfo.exe
%UserProfile%Application DataATI_Subsystemcoinst_13.152.dll
%UserProfile%Application DataATI_Subsystemracss.dat
%Windir%Tasksatiapfxx_Client.job
%Windir%Tasksclinfo_Info.job
2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”atipblag_System” = “%UserProfile%Application DataATI_Subsystemclinfo.exe %UserProfile%Application DataATI_Subsystematicfx32.dll, ADL_Display_DeviceConfig_Get”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”amdhwdecoder_Info” = “%UserProfile%Application DataATI_Subsystemclinfo.exe %UserProfile%Application DataATI_Subsystematicfx32.dll, ADL_Display_DeviceConfig_Get”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun”atigktxx_Host” = “%UserAppData%ATI_Subsystemclinfo.exe %UserProfile%Application DataATI_Subsystematicfx32.dll, ADL_Display_DeviceConfig_Get”
3. Megnyitja a Temp könyvtárba előzőleg bemásolt PDF állományát.
4. Leállítja a működését, ha a következő virtualizációs megoldásokat észleli:
VMWare
Parallels Workstation
VirtualBox
Sandboxie
5. Leállítja az alábbi folyamatokat, amennyiben azok léteznek:
regmon.exe
windump.exe
syser.exe
procexp.exe
tcpview.exe
petools.exe
idag64.exe
wireshark.exe
winspy.exe
idaq64.exe
netsniffer.exe
apimonitor.exe
iris.exe
6. Csatlakozik előre meghatározott távoli kiszolgálókhoz a 443-as TCP porton keresztül.
7. Nyit egy hátsó kaput, és fogadja a terjesztői által kiadott parancsokat.
Megoldás
Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
Támadás típusa
Information disclosure (Információ/adat szivárgás)System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu
