Testreszabott hátsó kaput létesít a Remosh trójai

1
Kristóf Csaba
2010. augusztus 18., 08:48
Nyomtatás
A Remosh.A trójai egy hátsó kaput nyit a fertőzött rendszereken, és illedelmesen végrehajtja a terjesztői parancsait.

A Remosh.A trójai legfontosabb feladata, hogy a fertőzött rendszereken egy hátsó kaput létesítsen, amelynek segítségével a későbbiekben fogadni tudja a támadók parancsait. A kártékony program egy Windows-os szolgáltatás formájában fut a számítógépeken, amelyeken mindössze egyetlen DLL állományt hoz létre.

Az Isidor Biztonsági Központ szerint a Remosh.A egy konfigurációs paraméterlistával is rendelkezik, amelynek segítségével a terjesztői testreszabhatják a trójai működését. Meghatározhatják például, hogy az mely szerverhez, melyik porton keresztül csatlakozzon.

Amennyiben valaki a kártevő által létrehozott hátsó kapun keresztül hozzáférést szerez egy rendszerhez, akkor az alábbi műveleteket végezheti el:
- folyamatok leállítása
- fájlműveletek
- fájlok attribútumának megváltoztatása
- a regisztrációs adatbázis módosítása
- képernyőképek lementése
- fájlok letöltése az interneten keresztül
- parancssori ablak távoli megnyitása
- a trójai eltávolítása.

Amikor a Remosh.A trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%System%\hpmdp093.dll

2. Létrehoz egy Windows-os szolgáltatást az alábbiak szerint:
HKLM\SYSTEM\CurrentControlSet\Services\6to4\Parameters\ServiceDll="%System%\hpmdp093.dll"

3. A trójai kódja tartalmaz egy konfigurációs részt, mely alapján a kártevő a további tevékenységeit végzi:
MUTEXNAME = "NT1630"
SHELLCOMMAND = "shell"
SERVICENAME = "6to4"
SERVICE_DISPLAYNAME = "ASP.NET Services"
SERVICE_DESCRIPTION = ""
DISABLE_IPSEC = "1"
MASTER_HOST = "..."
MASTER_PORT = "80"
 
4. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.

5. Amennyiben a "DISABLE_IPSEC" konfigurációs érték 0, akkor a trójai leállítja saját magát, illetve letiltja a PolicyAgent szolgáltatást.

6. 30 másodpercenként csatlakozik a "MASTER_HOST" paraméterben meghatározott távoli szerverhez. A kapcsolathoz a "MASTER_PORT" esetében megadott portszámot használja.

7. Várakozik a támadók parancsaira, amelyeket végre is hajt.

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

0 hozzászólás

Ehhez a cikkhez még nem érkezett hozzászólás.
ESET Online Vírusirtó
Céginfó hírek (x)