Összefoglaló
A Xtrat.Q trójai az 1253-as hálózati porton keresztül veszélyezteti a számítógépeket, elsősorban azáltal, hogy egy hátsó kaput épít ki. Ezen keresztül jogosulatlan távoli műveletvégrehajtásra ad lehetőséget a terjesztői számára, akik egy vezérlőszerveren keresztül vehetik rá a szerzeményüket különféle feladatok elvégzésére.
Leírás
A trójai egy Universal Plug and Play alkalmazásnak álcázza magát, és ilyen módon próbál felkerülni a rendszerekre. Amennyiben ez sikerül számára, akkor néhány fájlt hoz létre, majd ellenőrzi, hogy van-e élő internetkapcsolat. Amikor minden feltétel adott a működéséhez, akkor nekilát a parancsok fogadásához. Rendelkezik egy olyan összetevővel is, amely fájlok, adatok feltöltésére alkalmas, így képes adatlopásban is részt venni.
Technikai részletek:
1. Létrehozza a következő állományokat:
- %APPDATA%microsoftwindows9otxw.dat
- %CurrentFolder%project1.dll
- %CurrentFolder%project2.dll
- %CurrentFolder%project3.dll
- %TEMP%upnp.exe
- [%indítópult%]upnp.lnk
2. Különböző folyamatokat fertőz meg a saját kódjával.
3. Ellenőrzi, hogy van-e élő internetkapcsolat.
4. Nyit egy hátsó kaput az 1253-as TCP porton keresztül.
5. Fogadja a támadók parancsait, amelyeket rögtön végrehajt.
6. Digitális tanúsítványokkal kapcsolatos manipulációkat végez.
7. Szerepet vállal adatszivárogtatásban.
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
- Használjon offline biztonsági mentést!
Támadás típusa
Information disclosure (Információ/adat szivárgás)Trójai
backdoor
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu