Nyitott kapukkal várja a támadókat a Meciv trójai

A Meciv trójai a hátsó kaput létesítő, és ezáltal a fertőzött számítógépeket kiszolgáltatottá tevő kártékony programok táborát gyarapítja.

A Meciv trójainak alapvetően két feladata van. Egyrészt különféle rendszerinformációkat szivárogtat ki, melyek között megtalálhatóak lehetnek az operációs rendszerre és a hálózati beállításokra vonatkozó adatok is. Másrészt egy hátsó kaput nyit a számítógépeken, és várakozik a terjesztőinek parancsaira.

Az Isidor Biztonsági Központ közleményéből kiderül, hogy a Meciv a következő műveletek végrehajtására vehető rá távolról:
- fájlok letöltése és futtatása
- fájlok feltöltése egy távoli szerverre
- fájlműveletek végrehajtása
- Windows-os parancsok futtatása.

A Meciv trójai a fertőzött rendszereken egy Portable Media Connect Service nevű Windows-os szolgáltatás formájában fut.

Amikor a Meciv trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%System%/wuouserv.dll
%System%/wzcsapl.dll

2. Bemásolja a fertőzött számítógépre az alábbi fájlt:
%UserProfile%/Start Menu/Programs/Startup/OfficeUpdate.exe

3. Létrehoz egy Portable Media Connect Service nevű Windows-os szolgáltatást.

4. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/WmdmPmSp
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/Root/LEGACY_WMDMPMSP

5. Csatlakozik előre meghatározott távoli szerverekhez.

6. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.

7. Kiszivárogtatja a következő információkat:
- számítógép neve
- MAC-cím
- operációs rendszer verziója.

2011. július 8
A hír megjelenését a Biztonságportál támogatta.