Murcy trójai |
 |
| Vírus Hírek | |||
Egyszerűség jegyében született a Murcy trójaiA Murcy trójai egy hátsó kapu létesítésével próbál szabad utat biztosítani a támadók számára.
A Murcy trójai mindössze egy fájlt hoz létre az általa megfertőzött rendszereken, ám a regisztrációs adatbázisban már jóval több módosítást végez. A kártékony program számos bejegyzést hoz létre, valamint különböző értékeket manipulál. Ezzel elsősorban azt próbálja elérni, hogy egy CyService nevű Windows-os szolgáltatás formájában minél megbízhatóbban tudjon működni.
Az Isidor Biztonsági Központ szerint a Murcy a 80-as TCP porton keresztül nyit egy hátsó kaput, és ezáltal a következő feladatok elvégzésére ad lehetőséget: - könyvtárak létrehozása - fájlok létrehozása, futtatása és törlése - fájl- és meghajtóinformációk lekérdezése - folyamatok lekérdezése - számítógép zárolása vagy leállítása - szolgáltatások indítása - mesg.exe használata - környezeti változók módosítása.
Amikor a Murcy trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt: %System%/cydll.dll
2. A regisztrációs adatbázis alábbi kulcsaihoz új értékeket ad hozzá: HKEY_LOCAL_MACHINE/SOFTWARE/Classes/Sxl HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Enum/Root/LEGACY_CYSERVICE/0000 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/Root/LEGACY_CYSERVICE/0000
3. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket: HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Enum/Root/LEGACY_CYSERVICE/"NextInstance" = "1" HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/CyService/Enum/"0 = "Root/LEGACY_CYSERVICE/0000" HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/CyService/Enum/"Count" = "1" HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/CyService/Enum/"NextInstance" = "1" HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/CyService/Security/"Security" = "01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0" HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/CyService/Parameters/"ServiceDll" = "%System%/cydll.dll" HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/CyService/"Type" = "10" HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/CyService/"Start" = "2" HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/CyService/"ErrorControl" = "1" HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/CyService/"ImagePath" = "%SystemDrive%//system32//svchost.exe -k netsvcs" HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/CyService/"DisplayName" = "CyService Service" HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/CyService/"ObjectName" = "LocalSystem" HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/Root/LEGACY_CYSERVICE/0000/Control/"NewlyCreated" = "0" HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/CyService/"ActiveService" = "CyService" HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CyService/Enum/"0" = "Root/LEGACY_CYSERVICE/0000" HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CyService/Enum/"Count" = "1" HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CyService/Enum/"NextInstance" = "1" HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CyService/Security/"Security" = "01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0" HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CyService/Parameters/"ServiceDll = "%System%/cydll.dll" HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CyService/"Type" = "10" HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CyService/"Start" = "2" HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CyService/"ErrorControl" = "1" HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CyService/"ImagePath" = "%SystemDrive%/system32/svchost.exe -k netsvcs" HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CyService/"DisplayName" = "CyService Service" HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CyService/"ObjectName" = "LocalSystem"
4. A regisztrációs adatbázisban módosítja a következő értékeket: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/SvcHost/"netsvcs" = "" HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/ServiceCurrent/"(Default)" = "" HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/ServiceCurrent/"(Default)" = ""
5. Létrehoz egy CyService nevű szolgáltatást.
6. Csatlakozik egy távoli szerverhez a 80-as TCP porton keresztül.
7. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.
A hír megjelenését a Biztonságportál támogatta.
|
Vírus Hírek Murcy trójai
Friss hírek-tesztek
- Nagyvállalati szintű minőség és kisvállalkozások számára megfizethető ár a Novell új kisvállalati csomagjában
- Új érintőképernyős, vízálló strapatelefonnal bővült az EVOLVE termékcsalád
- Új szerver a Fujitsutól a kisvállalatok üzletmenet-folytonosságának javítására
- A red dot és az iF is számos díjjal jutalmazta az LG 2012-es termékeinek formatervezését
- A Fujitsu bemutatja új BS2000/OSD mainframe operációs rendszerét
Népszerű hírek
- Magyarországon is kapható a Huawei IDEOS S7 Slim táblagép
- Színharmónia az üzleti dokumentumokban
- Az Android 4.0 hivatalosan is elérhető a Samsung Galaxy S II-re és az LG Optimus 3D-re
- Itt az első Star Wars 3D trailer!
- Ingyenes 3D tartalom Samsung Smart TV-kre, 9-es sorozatú Smart monitor, új Smart blu-rayek a régi TV-k „okosítására”