IKT műhely - Netbiztonság

Mire céloz a Castov trójai?

A Castov trójai a Tor hálózatok által biztosított lehetőségek felhasználásával juttat fel kártékony fájlokat a számítógépekre.

A Castov.B trójai a kártékony programok terjesztésében szerepet vállaló számítógépes károkozók közé sorolható.

Azonban ezt a tevékenységét a szokásosnál jobban próbálja leplezni. Ennek érdekében a Tor hálózatok, illetve megoldások adta lehetőségekkel és anonimitással is visszaél, ami a hálózati adatforgalomból való kiszűrését megnehezítheti. Az Isidor Biztonsági Központ közleménye kitért arra, hogy a Castov.B számos állományt hoz létre a számítógépeken, amelyek között több megtévesztő nevet kap. Így például előfordulhat, hogy a trójai a Windows svchost.exe vagy spoolsv.exe folyamatának álcázza saját magát.

A kártékony program jellemzője, hogy a számítógéphez vagy a helyi hálózathoz tartozó (külső) IP-címet az ipaddress com weboldal segítségével kérdezi le. Amikor a Castov.B trójai elindul, akkor az alábbi műveleteket hajtja végre: 1. Létrehozza a következő állományokat: %UserProfile%\Application Data\Identities\{d79365c0-2a26-11e0-87a4-806d6172696f}\config.ini %UserProfile%\Application Data\Identities\{d79365c0-2a26-11e0-87a4-806d6172696f}\libeay32.dll %UserProfile%\Application Data\Identities\{d79365c0-2a26-11e0-87a4-806d6172696f}\ssleay32.dll %UserProfile%\Application Data\Identities\{d79365c0-2a26-11e0-87a4-806d6172696f}\alg.exe %UserProfile%\Application Data\Identities\{d79365c0-2a26-11e0-87a4-806d6172696f}\spoolsv.exe %UserProfile%\Application Data\Identities\{d79365c0-2a26-11e0-87a4-806d6172696f}\svchost.exe %UserProfile%\Application Data\Identities\{d79365c0-2a26-11e0-87a4-806d6172696f}\mdm.exe %UserProfile%\Application Data\Identities\{d79365c0-2a26-11e0-87a4-806d6172696f}\svchost.exe %UserProfile%\Application Data\Identities\{d79365c0-2a26-11e0-87a4-806d6172696f}\mdm.exe 2. Létrehozza az alábbi könyvtárakat: %UserProfile%\Application Data\tor\lock %UserProfile%\Application Data\tor\state 3. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzést: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"svchost" = "\"%UserProfile%\Application Data\Identities\{d79365c0-2a26-11e0-87a4-806d6172696f}\svchost.exe\"" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"mdm" = "\"%UserProfile%\Application Data\Identities\{d79365c0-2a26-11e0-87a4-806d6172696f}\mdm.exe\"" 4. Az ipaddress com segítségével lekérdezi a fertőzött számítógéphez tartozó (külső) IP címet.

Tovább a teljes cikkhez >>> biztonsagportal.hu
<<< Szóljon hozzá a cikkhez! Ha hasznosnak találja lájkolja, twittelje! Kollégái, ismerősei így könnyebben rátalálnak és szívesen olvassák ezt a cikket. <<< egy kattintást megér!

***

Kapcsolódó cikkek:

Keresés a portálon


Főszerkesztő +Tarnavölgyi Gábor

 


 

Hozzászólás

Név:
E-mail cím:
Weblap:
Tárgy:
Hozzászólás: