Win32/Tarcloin.J

CH azonosító

CH-11405

Angol cím

Trojan:Win32/Tarcloin.J

Felfedezés dátuma

2014.07.08.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A Tarcloin.J trójai egy hátsó kaput nyit az áldozatul esett számítógépeken, majd ezen keresztül biztosítja a hozzáférést a terjesztői számára, valamint adatokat szivárogtat ki. A működéséhez elengedhetetlen állományokat hoz létre a fertőzött számítógépeken. A létrehozott fájlok többnyire dll kiterjesztésűek. A létrehozott fájlok a Temp könyvtárba kerülnek be.

A Tarcloin.J trójai, hogy kapcsolódjon a vezérlőszerveréhez több hálózati portot is használ (80, 8000 és 3333), hogy parancsokat és utasításokat tudjon fogadni. A megszerzett adatokat továbbítja a terjesztői számára ezen kiszolgálón keresztül. A támadókat informálja mindenről, akik ezáltal tisztában vannak azzal, hogy a kártékony program milyen és hány számítógépre került fel.

Leírás

1. Az alábbi állományokat hozza létre:
c:documents and settingsadministratorlocal settingstempwwrbtcfestcfgb
c:documents and settingsadministratorlocal settingstempwwrbtcfestdiablo130302.cl
c:documents and settingsadministratorlocal settingstempwwrbtcfestdiakgcn121016.cl
c:documents and settingsadministratorlocal settingstempwwrbtcfestlibblkmaker-0.1-0.dll
c:documents and settingsadministratorlocal settingstempwwrbtcfestlibblkmaker_jansson-0.1-0.dll
c:documents and settingsadministratorlocal settingstempwwrbtcfestlibcurl-4.dll
c:documents and settingsadministratorlocal settingstempwwrbtcfestlibcurl.dll
c:documents and settingsadministratorlocal settingstempwwrbtcfestlibeay32.dll
c:documents and settingsadministratorlocal settingstempwwrbtcfestlibidn-11.dll
c:documents and settingsadministratorlocal settingstempwwrbtcfestlibjansson-4.dll
c:documents and settingsadministratorlocal settingstempwwrbtcfestlibpdcurses.dll
c:documents and settingsadministratorlocal settingstempwwrbtcfestlibusb-1.0.dll
c:documents and settingsadministratorlocal settingstempwwrbtcfestpdcurses.dll
c:documents and settingsadministratorlocal settingstempwwrbtcfestphatk121016.cl
c:documents and settingsadministratorlocal settingstempwwrbtcfestpoclbm130302.cl
c:documents and settingsadministratorlocal settingstempwwrbtcfestpthreadgc2.dll
c:documents and settingsadministratorlocal settingstempwwrbtcfestrybecrtbdxr.exe
c:documents and settingsadministratorlocal settingstempwwrbtcfestscrypt130511.cl
c:documents and settingsadministratorlocal settingstempwwrbtcfestssleay32.dll
c:documents and settingsadministratorlocal settingstempwwrbtcfestzlib1.dll

2. Ellenőrzi, hogy van-e élő internetkapcsolat.

3. Csatlakozik egy távoli kiszolgálóhoz.

4. Jelenti a fertőzés megtörténtét a terjesztői számára.

5. Konfigurációs állományokat tölt le a vezérlőszervereiről.

6. Kártékony programokat tölt le és telepít.

7. Fogadja a támadók parancsait, amelyeket rögtön végre is hajt.

8. Adatokat gyűjt össze és szivárogtat ki.