Ascesso.B

Az Ascesso trójai legújabb variánsa egy Windows-os szolgáltatás felhasználásával lop bizalmas adatokat.
 

Az Ascesso trójai programok családjának második képviselője is elsősorban az adatlopási tevékenységekre koncentrál, ugyanakkor egyes funkciói révén egyéb károkozásokban való részvételre is képessé válhat. Ennek oka, hogy a trójai egy távoli vezérlőszerverhez kapcsolódik, amelyről alapesetben mindössze egy fájlt tölt le. Emellett azonban nincs igazán technikai akadálya annak, hogy erről a szerverről a támadók által kiadott parancsokat is fogadja.

Az Ascesso.B egy "usbhc" nevű Windows-os szolgáltatást hoz létre, ami meg is jelenik az operációs rendszer szolgáltatásainak sorában. Ugyan az "usbhc" viszonylag megtévesztő név, hiszen arra lehet gondolni, hogy az USB-s eszközök kezeléséhez van rá szükség, a valóságban azonban semmi köze nincs a népszerű interfészhez.

Az Ascesso.B a fertőzött számítógépeken folyamatosan gyűjti össze a terjesztői számára értékes adatokat, amelyeket rendszeresen feltölt egy távoli kiszolgálóra.


Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%System%/drivers/usbhc.sys

2. Létrehoz egy Windows-os szolgáltatást usbhc néven.

3. A regisztrációs adatbázishoz hozzáadja az alábbi kulcsot:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/usbhc

4. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
HKEY_LOCAL_MACHINE/SECURITY/RXACT/"Log" = "[véletlenszerű bináris érték]"

5. A regisztrációs adatbázisban módosítja az alábbi bejegyzést:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/"CleanShutdown" = "0"

6. Csatlakozik egy távoli szerverhez, amelyről egy fájlt tölt le. Ezt a következők szerint menti le:
%Windir%/system32/kb[véletlenszerű karakterek].exe

7. Bizalmas adatokat gyűjt össze.

8. Az összegyűjtött adatokat feltölti egy távoli kiszolgálóra.