Összefoglaló
A Tarcloin.J trójai egy hátsó kaput nyit az áldozatul esett számítógépeken, majd ezen keresztül biztosítja a hozzáférést a terjesztői számára, valamint adatokat szivárogtat ki. A működéséhez elengedhetetlen állományokat hoz létre a fertőzött számítógépeken. A létrehozott fájlok többnyire dll kiterjesztésűek. A létrehozott fájlok a Temp könyvtárba kerülnek be.
A Tarcloin.J trójai, hogy kapcsolódjon a vezérlőszerveréhez több hálózati portot is használ (80, 8000 és 3333), hogy parancsokat és utasításokat tudjon fogadni. A megszerzett adatokat továbbítja a terjesztői számára ezen kiszolgálón keresztül. A támadókat informálja mindenről, akik ezáltal tisztában vannak azzal, hogy a kártékony program milyen és hány számítógépre került fel.
Leírás
1. Az alábbi állományokat hozza létre:
c:documents and settingsadministratorlocal settingstempwwrbtcfestcfgb
c:documents and settingsadministratorlocal settingstempwwrbtcfestdiablo130302.cl
c:documents and settingsadministratorlocal settingstempwwrbtcfestdiakgcn121016.cl
c:documents and settingsadministratorlocal settingstempwwrbtcfestlibblkmaker-0.1-0.dll
c:documents and settingsadministratorlocal settingstempwwrbtcfestlibblkmaker_jansson-0.1-0.dll
c:documents and settingsadministratorlocal settingstempwwrbtcfestlibcurl-4.dll
c:documents and settingsadministratorlocal settingstempwwrbtcfestlibcurl.dll
c:documents and settingsadministratorlocal settingstempwwrbtcfestlibeay32.dll
c:documents and settingsadministratorlocal settingstempwwrbtcfestlibidn-11.dll
c:documents and settingsadministratorlocal settingstempwwrbtcfestlibjansson-4.dll
c:documents and settingsadministratorlocal settingstempwwrbtcfestlibpdcurses.dll
c:documents and settingsadministratorlocal settingstempwwrbtcfestlibusb-1.0.dll
c:documents and settingsadministratorlocal settingstempwwrbtcfestpdcurses.dll
c:documents and settingsadministratorlocal settingstempwwrbtcfestphatk121016.cl
c:documents and settingsadministratorlocal settingstempwwrbtcfestpoclbm130302.cl
c:documents and settingsadministratorlocal settingstempwwrbtcfestpthreadgc2.dll
c:documents and settingsadministratorlocal settingstempwwrbtcfestrybecrtbdxr.exe
c:documents and settingsadministratorlocal settingstempwwrbtcfestscrypt130511.cl
c:documents and settingsadministratorlocal settingstempwwrbtcfestssleay32.dll
c:documents and settingsadministratorlocal settingstempwwrbtcfestzlib1.dll
2. Ellenőrzi, hogy van-e élő internetkapcsolat.
3. Csatlakozik egy távoli kiszolgálóhoz.
4. Jelenti a fertőzés megtörténtét a terjesztői számára.
5. Konfigurációs állományokat tölt le a vezérlőszervereiről.
6. Kártékony programokat tölt le és telepít.
7. Fogadja a támadók parancsait, amelyeket rögtön végre is hajt.
8. Adatokat gyűjt össze és szivárogtat ki.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Other (Egyéb)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.microsoft.com