Az Acrobat hibáját használja ki a Pidief trójai

1
Kristóf Csaba
2009. május 27., 07:52
Nyomtatás
A Pidief.F trójai az Adobe Acrobat, illetve Reader szoftverek egyik sérülékenységét használja ki ahhoz, hogy a fertőzött számítógépeken kártékony műveleteket hajtson végre.

A Pidief.F trójai legfontosabb jellemzője, hogy elsősorban azokon a rendszereken képes a károkozásra, amelyeken nem megfelelően frissített Adobe Acrobat vagy Reader alkalmazások is futnak. A trójai ugyanis e két szoftver egyik sebezhetőségét használja ki ahhoz, hogy a rosszindulatú tevékenységét végrehajtsa.

A Pidief.F számos fájlt hoz létre a fertőzött rendszereken, és a regisztrációs adatbázist is módosítja. Ezt követően megjelenít egy PDF-állományt, majd nyit egy hátsó kaput a fertőzött rendszereken. Ezen keresztül a támadók jogosulatlan műveleteket hajthatnak végre.

Az Isidor Biztonsági Központ szerint a trójai ellen az Adobe alkalmazásainak frissítésével, és a víruskeresők naprakészen tartásával lehet a leghatékonyabban védekezni.

Amikor a Pidief.F trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%SystemDrive%\a.exe
%SystemDrive%\a.pdf
%System%\chkzero.exe
%Temp%\filepages.sys
%Temp%\temp.sys
%Temp%\temp.txt
C:\Documents and Settings\All Users\Application Data\SVCH0ST.dll
C:\Documents and Settings\All Users\Application Data\svchost.exe

2. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\"RUN_XY_Zer0" = "a.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Marks Info\"Mark" = "kkk"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Marks Info\"SystemTime" = "2009-5-21-20"

3. A regisztrációs adatbázishoz hozzáfűzi az alábbi kulcsokat:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RUN_XY_Zer0
HKEY_CURRENT_USER\Software\Microsoft\Windows\Marks Info
HKEY_LOCAL_MACHINE\SYSTEM\123
HKEY_LOCAL_MACHINE\SYSTEM\123\SSDT
HKEY_LOCAL_MACHINE\SYSTEM\123\SSDT\ErrorControl
HKEY_LOCAL_MACHINE\SYSTEM\123\SSDT\Start
HKEY_LOCAL_MACHINE\SYSTEM\123\SSDT\Type
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REWQREW
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSDT

4. Létrehoz egy DETrueTime nevű szolgáltatást.

5. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rewqrew
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DETrueTime

6. Megjeleníti a %SystemDrive%\a.pdf állományt, majd kártékony tevékenységeket próbál leplezni.

7. Lefuttatja a %SystemDrive%\a.exe fájlt, amellyel nyit egy hátsó kaput a 443-as TCP porton keresztül.

8. Letörli a %SystemDrive%\a.exe állományt.

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

0 hozzászólás

Ehhez a cikkhez még nem érkezett hozzászólás.
ESET Online Vírusirtó
Céginfó hírek (x)

Kiadó
Partnereink
IDG Worldwide

© 1999-2012 IDG Hungary Médiaszolgáltató Kft. Minden jog fenntartva.