Xtrat.Q trójai

CH azonosító

CH-12738

Angol cím

Xtrat.Q trojan

Felfedezés dátuma

2015.11.01.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Xtrat.Q trójai az 1253-as hálózati porton keresztül veszélyezteti a számítógépeket, elsősorban azáltal, hogy egy hátsó kaput épít ki. Ezen keresztül jogosulatlan távoli műveletvégrehajtásra ad lehetőséget a terjesztői számára, akik egy vezérlőszerveren keresztül vehetik rá a szerzeményüket különféle feladatok elvégzésére.

Leírás

A trójai egy Universal Plug and Play alkalmazásnak álcázza magát, és ilyen módon próbál felkerülni a rendszerekre. Amennyiben ez sikerül számára, akkor néhány fájlt hoz létre, majd ellenőrzi, hogy van-e élő internetkapcsolat. Amikor minden feltétel adott a működéséhez, akkor nekilát a parancsok fogadásához. Rendelkezik egy olyan összetevővel is, amely fájlok, adatok feltöltésére alkalmas, így képes adatlopásban is részt venni.

Technikai részletek:

1. Létrehozza a következő állományokat:

  • %APPDATA%microsoftwindows9otxw.dat
  • %CurrentFolder%project1.dll
  • %CurrentFolder%project2.dll
  • %CurrentFolder%project3.dll
  • %TEMP%upnp.exe
  • [%indítópult%]upnp.lnk

2. Különböző folyamatokat fertőz meg a saját kódjával.

3. Ellenőrzi, hogy van-e élő internetkapcsolat.

4. Nyit egy hátsó kaput az 1253-as TCP porton keresztül.

5. Fogadja a támadók parancsait, amelyeket rögtön végrehajt.

6. Digitális tanúsítványokkal kapcsolatos manipulációkat végez.

7. Szerepet vállal adatszivárogtatásban.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
  • Használjon offline biztonsági mentést!