A Fosor trójai jellegzetessége, hogy egy - a Microsoft által már korábban kijavított - Excel sérülékenységet használ ki a terjedéséhez. Ennek ellenére nem Excel fájlok révén terjed, hanem olyan Word dokumentumokon keresztül jut fel a számítógépekre, amelyek egy speciálisan szerkesztett, beágyazott Excel objektumot is tartalmaznak.
Az Isidor Biztonsági Központ jelentése szerint a Fosor trójai legfontosabb feladata, hogy egy hátsó kaput nyisson a fertőzött számítógépeken, amelyen keresztül a támadók az alábbi műveleteket kezdeményezhetik:
- a Windows beépített tűzfalának kikapcsolása
- billentyűleütések naplózása
- rendszerinformációk összegyűjtése
- új szolgáltatások létrehozása
- parancssori ablak megnyitás
- biztonsági alkalmazások leállítása.
Amikor a Fosor trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%Windir%/Ball.exe
%UserProfile%/Start Menu/Programs/Startup/Ball.exe
%Windir%/Temp/zk.exe
%Windir%/Temp/svchost.exe
2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/NetCache/"Enabled" = "0"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/"ShutdownWithoutLogon" = "0"
HKEY_USERS/.DEFAULT/Keyboard Layout/Toggle/"Hotkey" = "1"
3. A regisztrációs adatbázisba beilleszti a következő kulcsot:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/[szolgáltatásnév]
4. A regisztrációs adatbázisban módosítja az alábbi kulcsokhoz tartozó bejegyzéseket:
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Terminal Server/fDenyTSConnections
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Terminal Server/Wds/rdpwd/Tds/tcp/PortNumber
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Terminal Server/WinStations/RDP-Tcp/PortNumber
5. Csatlakozik távoli szerverekhez, és nyit egy hátsó kaput.
6. Várakozik a támadók parancsaira.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.