Összefoglaló
A Gamker.B trójai kémprogramként funkcionál. Összegyűjti a bizalmas adatokat és a terjesztői számára kiszivárogtatja. A kémprogram a rendszeren nyit egy hátsó kaput, amin a terjesztői által kiadott utasításokat fogadni tudja. Egy vezérlőszerverhez csatlakozik a 80-as porton keresztül.
A Gamker létrehoz egy ütemezett feladatot, amely által biztosítja működését. A trójai olyan temp kiterjesztésű fájlokat rejt el, amelyek feltűnés nélkül bekerülnek a Windows Temp könyvtárába.
Leírás
1. A következő állományt hozza létrehozza:
c:documents and settingsall usersapplication dataxypyq.exe.
2. Az alábbi fájlokat másolja fel a rendszerre:
c:documents and settingsadministratorlocal settingstempe.tmp
c:documents and settingsadministratorlocal settingstempf.tmp
3. A következő állomány felhasználásával egy ütemezett feladatot hoz létrehoz:
%windir%tasksvideodriver.job
4. A 80-as TCP porton keresztül csatlakozik egy távoli kiszolgálóhoz.
5. A fertőzés megtörténtéről értesíti a terjesztőit.
6. Különféle parancsok kapnak helyet a letöltött konfigurációs állományokban.
7. A támadók parancsait végrehajtja.
8. Kártékony programokat tölt le, és telepít a rendszerekre.
9. Adatszivárogtatásban vállal szerepet.
Megoldás
Naprakész biztonsági szoftve.
Támadás típusa
System access (Rendszer hozzáférés)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.microsoft.com