[SYMANTEC] Backdoor.Kargatroj

Informacje o najnowszych zagrożeniach i sposobach leczenia
Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21399
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

[SYMANTEC] Backdoor.Kargatroj

Post31 paź 2014, 21:38

Symantec ostrzega przed backdoorem Backdoor.Kargatroj przygotowanym dla systemów Windows.
Backdoor.Kargatroj jest koniem trojańskim pomaga w wykradaniu danych z systemu.

Zgodnie z informacjami Symanteca, trojan ten tworzy następujące pliki:

Kod: Zaznacz cały

    %Windir%\webconfig\[FILE NAME]
    %Windir%\webconfig\svr\
    %Windir%\webconfig\Ret\
    %Windir%\webconfig\Ret\ZZ[FILE NAME]
    %Windir%\webconfig\svr\Usblog_UDISK.log
    %Windir%\webconfig\svr\Filerec.log
    %Windir%\~bandu.tmp
    %System%\usbprotect.exe
    %System%\secur16.dll
    %RemovableDrive%:\[FILE NAME].exe
    %RemovableDrive%:\New folder.exe


Następnie dodaje się do rejestru

Kod: Zaznacz cały

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = 0x00000001
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = 0x00000000
    HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\AppMgmt\"Start" = 0x00000002
    HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = 0x00000000
    HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\AppMgmt\Parameters\"ServiceDll" = %System%\secur16.dll
    HKEY_CLASSES_ROOT\exefile\"NeverShowExt" = "0"


Szkodnik ukrywa znane rozszerzenia oraz pliki systemowe. Na bieżąco sprawdza podłączane dyski w celu dodania w nich swojej kopii pod postacią pliku adding.exe oraz wrzuca do menedżera aplikacji plik secur16.dll w celu uruchamiania siebie przy starcie. Tworzy też plik New folder.exe.

Szkodnik wykrada pliki .doc oraz .xls

Kopiuje je do folderu webconfig w folderze Windowsa. Wszystkie pliki szyfruje w folderze webconfig\Ret\ZZ[FILE NAME], a następnie kasuje oryginały. Komunikuje się ze swoim serwerem na porcie 443.
Hotfix
Pozdrawiam, cosik_ktosik :)


  • Reklama

Wróć do „Zagrożenia i leczenie”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 5 gości