CoreFlood trójai

 E-mail
IWIWSatartlapGoogle bookmarkTwitterLinkter.huFacebookBlogter.hu
Vírus Hírek

Távolról irányítható a CoreFlood trójai

A CoreFlood.B trójai egy távoli szerverről kap különféle utasításokat arra vonatkozóan, hogy a fertőzött számítógépeken milyen műveleteket hajtson végre.

A CoreFlood.B trójai több szempontból is veszélyezteti a fertőzött rendszereket, illetve az azokon tárolt adatokat. Egyrészt egy előre meghatározott távoli szerverhez való kapcsolódást követően különböző parancsokat fogad, amelyek pontosan behatárolják azt, hogy a kártékony programnak milyen további műveleteket kell elvégeznie. Másrészt pedig egy hátsó kaput nyit a számítógépeken, amit a támadók jogosulatlan távoli rendszerhozzáférésre és műveletvégrehajtásra használhatnak fel.

 

Az Isidor Biztonsági Központ szerint a támadók az alábbi tevékenységek végrehajtására vehetik rá a trójait:
- tetszőleges fájlok futtatása
- a számítógép leállítása vagy újraindítása
- a böngészők által tárolt cookie-k eltávolítása
- fájlok átnevezése és törlése
- a hálózati adatforgalom megfigyelése
- távoli szerverekhez való csatlakozás.

A CoreFlood.B további veszélye, hogy képes egyéb kártékony programokat feljuttatni a fertőzött rendszerekre.

Amikor a CoreFlood.B trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%windir%/system32/[véletlenszerű karakterek].dll
%windir%/system32/[véletlenszerű karakterek].dat

2. A regisztrációs adatbázisban módosítja az alábbi bejegyezéseket:
HKLM/Software/Classes/CLSID/{DB12B0FC-BB11-9114-DE28-165ADF40D7A3}/(default)="kbdfuht"
HKLM/SOFTWARE/Classes/CLSID/{DB12B0FC-BB11-9114-DE28-165ADF40D7A3}/InprocServer32/(default)="/kbdfuht.dll"
HKLM/Software/Classes/CLSID/{DB12B0FC-BB11-9114-DE28-165ADF40D7A3}/InprocServer32/ThreadingModel="Apartment"
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellIconOverlayIdentifiers/kbdfuht/(default)="{DB12B0FC-BB11-9114-DE28-165ADF40D7A3}"
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/(default)="{DB12B0FC-BB11-9114-DE28-165ADF40D7A3}"

3. Megfertőz egyes rendszerfolyamatokat. Például az Explorer.exe-t.

4. Kapcsolódik egy távoli szerverhez, amelyről parancsokat fogad.

5. A számára kijelölt műveleteket végrehajtja.

6. További kártékony programokat juttat fel a számítógépekre, amelyeket el is indít.

7. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.

 

A hír megjelenését a Biztonságportál támogatta.

Kristóf Csaba
2011. május 31
< Előző   Következő >