A Sojax trójai az adatlopással foglalkozó kártékony programok táborát gyarapítja. Azonban a trójai elsősorban nem a felhasználók bizalmas adatai iránt mutat érdeklődést, hanem azon rendszerinformációkat igyekszik minden áron kiszivárogtatni a terjesztői számára, amelyek az általa megfertőzött rendszerek legfontosabb paramétereire vonatkoznak. Erre azért kerít sort, mert így a támadók felkészültebben tudják végrehajtani a valódi károkozásaikat például azon a hátsó kapun keresztül, amelyet a Sojax létesít.
Az Isidor Biztonsági Központ közleménye szerint a Sojax fájlok le- és feltöltésére ad lehetőséget, illetve minden olyan parancsot képes végrehajtani, ami a Windows parancssori ablakából kezdeményezhető. Vagyis meglehetősen sok lehetőséget tartogat a terjesztői számára.
A Sojax további fontos jellemzője, hogy elsősorban Word dokumentumok, illetve PDF-állományok révén terjed, és képes kihasználni a Microsoft Office valamint az Adobe Reader, illetve Acrobat alkalmazások egyes sérülékenységeit.
Amikor a Sojax trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%Temp%/WINWORD.EXE
2. A Windows Temp könyvtárába bemásol még egy fájlt az alábbiak szerint:
%Temp%/~temp.vbs
3. Az alábbi rendszerinformációkat gyűjti össze a %Windir%/NtUninstallKB könyvtárba:
- hálózati információk
- fájlok listája
- folyamatok listája
- operációs rendszerrel kapcsolatos adatok.
4. Az összegyűjtött adatokat feltölti egy előre meghatározott távoli szerverre.
5. Nyit egy hátsó kaput, amelyen keresztül fájlok le- és feltöltésére valamint parancssorból futtatható parancsok végrehajtására ad lehetőséget.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.