Adatszivárogtatást segíthet a Libnut trójai

A Libnut trójai a hátsó kapu létesítésére alkalmas kártékony programok táborát gyarapítja. A fertőzött rendszereken ugyanis olyan módosításokat végez, amelyek révén a támadók jogosulatlan hozzáférést szerezhetnek, és különféle műveleteket hajthatnak végre. Egyrészt rendszerinformációkat kérdezhetnek le, amik alapján további károkozásokat kezdeményezhetnek. Másrészt pedig fájlokat tölthetnek fel az érintett PC-kre, illetve azokról tetszőleges fájlokat másolhatnak le. Ezáltal bizalmas adatokhoz is hozzáférést szerezhetnek.

Az Isidor Biztonsági Központ jelentése szerint a Libnut egy Windows Storage nevű szolgáltatást hoz létre a Windows-ban, amelynek segítségével a háttérben folyamatosan várakozik a támadók parancsaira. Emellett e szolgáltatás révén gondoskodik arról, hogy az operációs rendszer újraindítása után automatikusan be tudjon töltődni.

Amikor a Libnut trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%CommonProgramFiles%/System/STRUNLIB.DLL
%CommonProgramFiles%/System/STRUNLIB.DLLbk
%Temp%/STZC_47D8B6F.TMP

2. A Windows-ban létrehoz egy új szolgáltatást Windows Storage néven.

3. A regisztrációs adatbázishoz hozzáfűzi az alábbi kulcsot:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/storage

4. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/Root/LEGACY_STORAGE
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/SvcHost/"storage" = "storage,"

5. Csatlakozik előre meghatározott távoli szerverekhez.

6. Nyit egy hátsó kaput a 443-as és a 8080-as TCP porton keresztül.

7. Várakozik a támadók parancsaira.

A hír megjelenését a Biztonságportál támogatta.