DDoS-támadásokban vállal szerepet a Ramage trójai

1
Kristóf Csaba
2011. december 19., 08:40
Nyomtatás
A Ramage trójai elosztott szolgáltatásmegtagadási támadásokat segíthet elő, és ezáltal különböző rendszerek megbénításához járulhat hozzá.

A Ramage trójai a felépítését tekintve leginkább azon kártékony programok közé sorolható, amelyek egy hátsó kaput nyitnak a fertőzött rendszereken, és lehetővé teszik, hogy a támadók különböző műveleteket hajthassanak végre. A Ramage képes egy botnet felépítésében való részvételre, és egy vezérlőszerverhez csatlakozni, amelyről fogadja a számára kijelölt parancsokat. Mindezt a háttérben végzi olyan módon, hogy abból a felhasználó lehetőleg ne vegyen észre semmit.

Az Isidor Biztonsági Központ közleménye szerint a Ramage elsősorban elosztott szolgáltatásmegtagadási támadásokban való közreműködésre alkalmas. Ennek megfelelően a vezérlőszerverről olyan információkat tölt le, amelyek révén egy-egy meghatározott rendszer, weboldal ellen képes - további fertőzött számítógépekkel összehangoltan - támadásba lendülni.

A Ramage sok esetben jól ismert alkalmazásoknak vagy Windows-os rendszerfájloknak álcázza saját magát.

Amikor a Ramage trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%UserProfile%/Application Data/ODBC.exe
%UserProfile%/Application Data/Intel.exe
%UserProfile%/Application Data/Netscape.exe
%UserProfile%/Application Data/Intel.exe
%UserProfile%/Application Data/Sysinternals.exe
%UserProfile%/Application Data/WinRAR.exe
%UserProfile%/Application Data/Policies.exe
%Windir%/Sxc/svchost.exe
%System%/drivers/svclock.exe

2. A Windows könyvtárába létrehoz egy új mappát:
%Windir%/Sxc/

3. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List/"[DROPPED VALUE NAME]" = "%UserProfile%/Application Data/[a trójai fájlneve].exe:*:[a trójai fájlneve]"

4. A regisztrációs adatbázist kiegészíti a következő értékekkel:
HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/"Shell" = "Explorer.exe,%UserProfile%/Application Data/[a trójai fájlneve].exe"
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/"[a trójai fájlneve]" = "%UserProfile%/Application Data/[a trójai fájlneve].exe"
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run/"[a trójai fájlneve]" = "%UserProfile%/Application Data/[a trójai fájlneve].exe"

5, Csatlakozik egy vezérlőszerverhez.

6. Nyit egy hátsó kaput, és a távoli kiszolgálóról fogadott parancsokat végrehajtja.

 

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

0 hozzászólás

Ehhez a cikkhez még nem érkezett hozzászólás.
ESET Online Vírusirtó
Céginfó hírek (x)

Kiadó
Partnereink
IDG Worldwide

© 1999-2012 IDG Hungary Médiaszolgáltató Kft. Minden jog fenntartva.