Elosztott támadásokban vállal szerepet az Esion trójai

Az Esion trójai elosztott szolgáltatásmegtagadási támadásokban vállal szerepet, és egy botnethez csatlakoztatja az általa megfertőzött rendszereket.

Az Esion trójai alapvető feladata, hogy olyan módosításokat végezzen az általa kiszemelt számítógépeken, amelyek révén a kiberbűnözést több szempontból is képes segíteni. A fertőzés során olyan műveleteket hajt végre, amelyek a rendszereket kiszolgáltatottá teszik, és a PC-ket egy folyamatosan bővülő botnethez csatlakoztatják.

Az Isidor Biztonsági Központ jelentése kitér arra, hogy az Esion rendszerinformációk (például az alaplap szériaszáma, a Windows verziója, stb.) szivárogtat ki a terjesztői számára. Emellett pedig olyan műveleteket végez, amelyek előkészítik a botnetekhez kapcsolt rendszereket elosztott szolgáltatásmegtagadási támadásokban való részvételre.

Az Esion a regisztrációs adatbázis módosításával éri el, hogy a Windows minden egyes betöltődésekor automatikusan el tudjon indulni.

Amikor az Esion trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%System%/Host.exe
%Temp%/Perflib_Perfdata_690.dat
%UserProfile%/Application Data/Realhost.exe

2. Letörli az alábbi fájlokat (amennyiben azok léteznek):
%UserProfile%/Application Data/Microsoft/CLR Security Config/v2.0.50727.42/security.config.cch.1608.711733
%Windir%/Microsoft.NET/Framework/v2.0.50727/CONFIG/security.config.cch.1608.711593
%Windir%/Microsoft.NET/Framework/v2.0.50727/CONFIG/enterprisesec.config.cch.1608.711603

3. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/"Windows Pc Driver" = "%UserProfile%/Application Data/Realhost.exe"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/"Windows-Network" = "%System%/Host.exe"

4. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKEY_USERS/.default/Software/Microsoft/Windows/ShellNoRoam/MUICache/"@netcfgx.dll,-50001" = "Transmission Control Protocol/Internet Protocol. The default wide area network protocol that provides communication across diverse interconnected networks."

5. A regisztrációs adatbázisban módosítja a következő értékeket:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/"EnableBalloonTips" = "0"
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/"Hidden" = "2"

6. Nyit egy hátsó kaput a fertőzött rendszeren, és várakozik a támadók parancsaira.

7, Összegyűjti a következő rendszerinformációkat:
- alaplap szériaszáma
- fertőzött számítógép neve
- Windows verziója

8. Rendszerinformációkat szivárogtat ki.

9. Kapcsolódik egy botnethez.

10. Esetenként frissíti a saját állományait.

11. Folyamatosan figyeli a hálózati adatforgalmat.

12. Elosztott szolgáltatásmegtagadási támadásokban vesz részt.

A hír megjelenését a Biztonságportál támogatta.