Win32/Cozer.gen!A trójai

CH azonosító

CH-12071

Angol cím

Trojan:Win32/Cozer.gen!A

Felfedezés dátuma

2015.03.12.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000
Windows 7
Windows 95
Windows 98
Windows Me
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Összefoglaló

A Cozer trójai nagyon ódzkodik a virtualizált környezetektől, amelyekről azt feltételezi, hogy az elemzését hivatottak elősegíteni. Ennél fogva nem fertőzi meg azokat a gépeket, amelyek VMWare, VirtualBox, Parallels Workstation vagy Sandboxie technológiák révén futnak. A valódi, fizikai PC-kre azonban fokozott kockázatot jelent, hiszen azokat távolról vezérelhetővé teszi a támadók számára.

A Cozer egy olyan hátsó kaput nyit az áldozatául eső rendszereken, amin keresztül a terjesztői fájlokat tölthetnek le, programokat futtathatnak, vagy éppen számukra nem tetsző folyamatokat állíthatnak le. Mindezek mellett lehetőségük nyílhat a számítógéppel, illetve az operációs rendszerrel kapcsolatos legfontosabb paraméterek begyűjtésére.

Leírás

1. Létrehozza a következő állományokat:
%Temp%hppscan854.pdf
%Temp%reader_sl.exe
%UserProfile%Application DataATI_Subsystematiadlxx.dll
%UserProfile%Application DataATI_Subsystematicfx32.bin
%UserProfile%Application DataATI_Subsystematicfx32.dll
%UserProfile%Application DataATI_Subsystemclinfo.exe
%UserProfile%Application DataATI_Subsystemcoinst_13.152.dll
%UserProfile%Application DataATI_Subsystemracss.dat
%Windir%Tasksatiapfxx_Client.job
%Windir%Tasksclinfo_Info.job

2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”atipblag_System” = “%UserProfile%Application DataATI_Subsystemclinfo.exe %UserProfile%Application DataATI_Subsystematicfx32.dll, ADL_Display_DeviceConfig_Get”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”amdhwdecoder_Info” = “%UserProfile%Application DataATI_Subsystemclinfo.exe %UserProfile%Application DataATI_Subsystematicfx32.dll, ADL_Display_DeviceConfig_Get”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun”atigktxx_Host” = “%UserAppData%ATI_Subsystemclinfo.exe %UserProfile%Application DataATI_Subsystematicfx32.dll, ADL_Display_DeviceConfig_Get”

3. Megnyitja a Temp könyvtárba előzőleg bemásolt PDF állományát.

4. Leállítja a működését, ha a következő virtualizációs megoldásokat észleli:
VMWare
Parallels Workstation
VirtualBox
Sandboxie

5. Leállítja az alábbi folyamatokat, amennyiben azok léteznek:
regmon.exe
windump.exe
syser.exe
procexp.exe
tcpview.exe
petools.exe
idag64.exe
wireshark.exe
winspy.exe
idaq64.exe
netsniffer.exe
apimonitor.exe
iris.exe

6. Csatlakozik előre meghatározott távoli kiszolgálókhoz a 443-as TCP porton keresztül.

7. Nyit egy hátsó kaput, és fogadja a terjesztői által kiadott parancsokat.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.