Távfelügyeleti alkalmazásnak álcázott trójai

1
Kristóf Csaba
2011. november 14., 08:55
Nyomtatás
A Gussdoor trójai a támadók dolgát egy hátsó kapu létesítésével könnyíti meg.

A Gussdoor trójai egy meglehetősen egyszerű kártékony program annak ellenére, hogy viszonylag sok állományt hoz létre az általa megfertőzött rendszereken. Ezek egy jelentős részét a Program Files könyvtárba létrehozott "Remote Manipulator System - Server" nevű mappába másolja be. Majd módosítja a regisztrációs adatbázist, és egy e-mailes értesítőt küld a terjesztői számára a fertőzés tényéről.

Az Isidor Biztonsági Központ szerint a Gussdoor egy hátsó kaput nyit a számítógépeken, amelyen keresztül az alábbi tevékenységekre utasítható:
- állományok olvasása és írása
- regisztrációs adatbázis lekérdezése és manipulálása
- folyamatok létrehozása
- képernyőképek készítése.

Amikor a Gussdoor trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%ProgramFiles%/Remote Manipulator System - Server/dsfVorbisDecoder.dll
%ProgramFiles%/Remote Manipulator System - Server/dsfVorbisEncoder.dll
%ProgramFiles%/Remote Manipulator System - Server/English.lg
%ProgramFiles%/Remote Manipulator System - Server/EULA.rtf
%ProgramFiles%/Remote Manipulator System - Server/help.chm
%ProgramFiles%/Remote Manipulator System - Server/HookDrv.dll
%ProgramFiles%/Remote Manipulator System - Server/Microsoft.VC90.CRT.manifest
%ProgramFiles%/Remote Manipulator System - Server/msvcp90.dll
%ProgramFiles%/Remote Manipulator System - Server/msvcr90.dll
%ProgramFiles%/Remote Manipulator System - Server/rfusclient.exe
%ProgramFiles%/Remote Manipulator System - Server/RIPCServer.dll
%ProgramFiles%/Remote Manipulator System - Server/Russian.lg
%ProgramFiles%/Remote Manipulator System - Server/rutserv.exe
%ProgramFiles%/Remote Manipulator System - Server/RWLN.dll
%ProgramFiles%/Remote Manipulator System - Server/vp8decoder.dll
%ProgramFiles%/Remote Manipulator System - Server/vp8encoder.dll
%System%/RWLN.dll
%System%/sysfiles/RMS.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/RWLN
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RManService
HKEY_LOCAL_MACHINE/SYSTEM/Remote Manipulator System

3. Egy e-mailt küld egy előre meghatározott címre.

4. Nyit egy hátsó kaput.

5. Várakozik a támadók parancsaira.

 

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

0 hozzászólás

Ehhez a cikkhez még nem érkezett hozzászólás.
ESET Online Vírusirtó
Céginfó hírek (x)

Kiadó
Partnereink
IDG Worldwide

© 1999-2012 IDG Hungary Médiaszolgáltató Kft. Minden jog fenntartva.