Zegost.AD trójai

CH azonosító

CH-12290

Angol cím

Zegost.AD trojan

Felfedezés dátuma

2015.05.31.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Zegost.AD trójai alapvetően egy hátsó kapu kiépítéséből veszi ki a részét, de szükség esetén adatlopástól sem riad vissza. Ennek ellenére a többfunkciós károkozó viszonylag egyszerű felépítésű. Mindössze két állományt hoz létre a fertőzött rendszereken.

Leírás

Az egyiket egy megtévesztő névvel (“mcafe”) ellátott mappába másolja be azt a látszatot keltve, hogy az állománya a jól ismert biztonsági cégtől származik. A valóságban azonban ebből semmi sem igaz.

A Zegost.AD a vezérlőszerverével a 80-as TCP porton keresztül kommunikál, vagyis megpróbál a legális hálózati adatforgalomba elrejtőzni, és ilyen módon kerülni a feltűnést. A kiszolgálóról egy konfigurációs állományt tölt le, amely a további működéséhez szükséges információkat tartalmazza.

Technikai részletek

1. Létrehozza a következő állományokat:

  • %TEMP%content.ie5sbyfgraftrue[1].love
  • %System%mcafefydx.qrt

2. További kártékony programokat tölt le, illetve telepít fel.

3. Csatlakozik egy távoli kiszolgálóhoz a 80-as TCP porton keresztül.

4. Konfigurációs adatokat tölt le.

5. Egy hátsó kaput létesít.

6. Behatárolja a PC fizikai helyét.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.

Hivatkozások

Egyéb referencia: www.microsoft.com
Egyéb referencia: isbk.hu