Összefoglaló
A Sathurbot trójai az ismert alkalmazások mellett terjed a fájlcserélő hálózatokon. Egy DLL-fájl formájában kap helyet kulcsgeneráló (keygen) szoftverek mellett. A trójai számos fájlt másol fel a rendszerbe a Windows különféle könyvtáraiba, amikor a felhasználó elindítja a fertőzött programot.
A károkozó megfertőzi a Windows rendszerfolyamatait, és a nemkívánatos tevékenységet a megfertőzött rendszerfolyamatok mögött végzi. Nyit egy hátsó kaput és a támadók kiadott utasításait végrehajtja. A kiadott utasítások többek között a Windows beállításainak manipulálása, fájlok futtatása, valamint adatlopásra vonatkozhatnak.
A Sathurbot trójai jellemzője, hogy az egyes védelmi alkalmazásokat a Windows beépített tűzfalát megpróbálja hatástalanítani a zavartalan kommunikáció érdekében.
Leírás
1. A következő állományokat hozza létre:
%App Data%MicrosoftBingDesktopBingCoreBingDesktopOverlays.dll
%App Data%MicrosoftCryptoRSA64CryptoProvider.dll
%App Data%MicrosoftMedia ToolsMediaIconsOverlays.dll
%App Data%Windows CodecsMediaShellOverlays.dll
%ProgramFiles%[véletlenszerű karakterek]SecurityManagerSecurityManager.dll
2.Az allábi fájlokat másolja a rendszerbe:
„%SystemDrive%rundll32.exe” „[…]”,DllInstall
3. A következő bejegyzéseket manipulálja a regisztrációs adatbázisban:
HKEY_CLASSES_ROOTCLSID{1EC23CFF-4C58-458f-924C-8519AEF61B32}InprocServer32=”[a trójai elérési útvonala]”
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{1EC23CFF-4C58-458f-924C-8519AEF61B32}InprocServer32″=”[a trójai elérési útvonala]”
HKEY_CLASSES_ROOTCLSID{B82655E9-B81D-4A97-8154-0D84A4C048E4}InprocServer32=”[a trójai elérési útvonala]”
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{B82655E9-B81D-4A97-8154-0D84A4C048E4}InprocServer32=””[a trójai elérési útvonala]””
HKEY_CLASSES_ROOTCLSID{24808826-C2BF-4269-B3BA-89D1D5F431A4}InprocServer32=”[a trójai elérési útvonala]”
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{24808826-C2BF-4269-B3BA-89D1D5F431A4}InprocServer32=”[a trójai elérési útvonala]”
4. A következő folyamatokat fertőzi meg:
explorer.exe
explorer64.exe
regsvr32.exe
regsvr64.exe
rundll32.exe
5. Egy távoli kiszolgálóhoz csatlakozik és egy hátsó kaput nyit.
6. A terjesztői által kiadott parancsokat fogadja.
7. A Windows tűzfalának kivétellistájához hozzáadja a saját állományát.
8. Biztonsági alkalmazásokat megpróbálja hatástalanítani.
9. Kártékony programokat tölt le.
Megoldás
Naprakész vírusírtó.
Támadás típusa
Information disclosure (Információ/adat szivárgás)System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.microsoft.com
Egyéb referencia: www.microsoft.com
