Bizalmas adatokat fürkészik a PcClient trójai

A PcClient.Z trójai adatlopásból veszi ki a részét. A kártékony program ugyanis a háttérben, egy IESSDD néven létrehozott Windows-os szolgáltatás formájában folyamatosan figyelemmel kíséri a felhasználó tevékenyégét. Naplózza a billentyűleütéseket, és monitorozza a rendszerben bekövetkező egyes eseményeket. Mindeközben rögzíti a megnyíló ablakok címsorában szereplő szövegeket, valamint az ezekben az ablakokban esetlegesen megadott felhasználóneveket és jelszavakat.

Az Isidor Biztonsági Központ közleménye szerint a PcClient.Z több hálózati porton keresztül kommunikál a terjesztői által üzemeltetett szerverekkel. Ezektől parancsokat fogad, illetve különféle információkat valamint lopott adatokat tölt fel. Emellett egy hátsó kaput biztosít a támadók számára, amelyen keresztül a következő tevékenységeket kezdeményezhetik:
- fájlok le- és feltöltése
- fájlrendszerben történő műveletek végrehajtása
- a regisztrációs adatbázis manipulálása
- szolgáltatások kezelése
- programok futtatása
- a számítógép újraindítása vagy leállítása
- rendszerinformációk gyűjtése
- jogosultságkezelési műveletek kezdeményezése.

Amikor a PcClient.Z trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%System%//IESSDD.dll

2. Felmásol a rendszerre egy rootkit komponenst:
%System%//drivers//IESSDD.sys

3. Feltelepít egy eszközdrivert.

4. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKLM//SYSTEM//CurrentControlSet//Services//Service name="IESSDD"
HKLM//SYSTEM//CurrentControlSet//Services//Display name="IESSDD"
HKLM//SYSTEM//CurrentControlSet//Services//Type="0x00000110"
HKLM//SYSTEM//CurrentControlSet//Services//Start="Auto"
HKLM//SYSTEM//CurrentControlSet//Services//ErrorControl="0x00000001"
HKLM//SYSTEM//CurrentControlSet//Services//ImagePath="%System%//svchost.exe -k IESSDD"
HKLM//SYSTEM//CurrentControlSet//Services//DisplayName="IEESSS"
HKLM//SYSTEM//CurrentControlSet//Services//ObjectName="LocalSystem"
HKLM//SYSTEM//CurrentControlSet//Services//Description="IESSDER"

Ezzel létrehoz egy Windows-os szolgáltatást.

6. Amikor a fenti szolgáltatás elindul, akkor a 3030-as TCP porton keresztül értesíti a terjesztőit a fertőzés megtörténtéről.

5. A regisztrációs adatbázishoz hozzáadja a következő bejegyzést:
HKLM//SOFTWARE//Microsoft//Windows NT//CurrentVersion//SvcHost//IESSDD="hex(7):49,45,53,53,44,44,00,00,"

6. Csatlakozik egy előre meghatározott távoli szerverhez a 8012-es porton keresztül.

7. A 8000-es porton keresztül információkat szivárogtat ki, majd parancsokat fogad.

8. Különböző információkat gyűjt össze a Windows Temp könyvtárába.

9. Folyamatosan naplózza a billentyűleütéseket.

10. Monitorozza a rendszer különféle eseményeit.

11. A megnyíló ablakok címsorát valamint az azokban esetlegesen megadott felhasználóneveket, illetve jelszavakat kémleli.

12. Minden megszerzett adatot feltölt egy távoli szerverre.

2011. július 5
A hír megjelenését a Biztonságportál támogatta.