[SYMANTEC] Ostrzeżenie przed Backdoor.Ratenjay

Informacje o najnowszych zagrożeniach i sposobach leczenia
Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21302
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

[SYMANTEC] Ostrzeżenie przed Backdoor.Ratenjay

Post03 lip 2013, 20:51

Backdoor.Ratenjay jest trojanem otwierającym tylną furtkę do systemu operacyjnego. Szkodnik działa na wszystkich systemach operacyjnych Windows, w tym także na Windows Server 2008.

Zagrożenie jakie generuje uznawane jest za niskie.

Backdoor.Ratenjay dostając się do komputera tworzy kilka kopii siebie samego:

Kod: Zaznacz cały

    %Temp%\[THREAT FILE NAME].exe
    %SystemDrive%\! My Picutre.SCR
    %DriveLetter%\! My Picutre.SCR
    %ProgramFiles%\Startup\[RANDOM NAME].exe

przy czym używa tutaj nazw adobe, Trojan, WinRAR lun driver.

Siłą rzeczy chcą operować w systemie musi dodać się też do autorastartu, co czyni poprzez rejestr

Kod: Zaznacz cały

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[DIGITS AND NUMBERS]" = "%Temp%\[THREAT FILE NAME]"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[DIGITS AND NUMBERS]" = "\%Temp%\[THREAT FILE NAME]\"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[DIGITS AND NUMBERS]" = "%Temp%\[THREAT FILE NAME]"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[DIGITS AND NUMBERS]" = "\%Temp%\[THREAT FILE NAME]\"


Na koniec tworzy dodatkowe wpisy do rejestru

Kod: Zaznacz cały

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"CleanShutdown" = "0"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%Temp%\[THREAT FILE NAME]" = "%Temp%\[THREAT FILE NAME]:*:Enabled:[THREAT FILE NAME]"


Atakujący może teraz już wykonywać kilka operacji, a wśród nich:
- wywoływanie poleceń shell
- instalować keyloggera
- pobierać informacje o komputerze
- modyfikować rejestr
- pobierać i uruchamiać pliki
- ładować i uruchamiać rozszerzenia
- robić zrzuty ekranu
- samodzielnie się odinstalować lub uaktualnić
- może też kopiować siebie na dyski przenośne i sieciowe.

Informacja pochodzi od firmy Symantec
Hotfix
Pozdrawiam, cosik_ktosik :)

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Lokalizacja: Pasztowa Wola Kolonia.
Kontaktowanie:

[SYMANTEC] Ostrzeżenie przed Backdoor.Ratenjay

Post06 lip 2013, 14:08

cosik_ktosik pisze:Backdoor.Ratenjay jest trojanem otwierającym tylną furtkę do systemu operacyjnego. Szkodnik działa na wszystkich systemach operacyjnych Windows, w tym także na Windows Server 2008.

Zagrożenie jakie generuje uznawane jest za niskie.

Backdoor.Ratenjay dostając się do komputera tworzy kilka kopii siebie samego:

Kod: Zaznacz cały

    %Temp%\[THREAT FILE NAME].exe
    %SystemDrive%\! My Picutre.SCR
    %DriveLetter%\! My Picutre.SCR
    %ProgramFiles%\Startup\[RANDOM NAME].exe

przy czym używa tutaj nazw adobe, Trojan, WinRAR lun driver.

Siłą rzeczy chcą operować w systemie musi dodać się też do autorastartu, co czyni poprzez rejestr

Kod: Zaznacz cały

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[DIGITS AND NUMBERS]" = "%Temp%\[THREAT FILE NAME]"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[DIGITS AND NUMBERS]" = "\%Temp%\[THREAT FILE NAME]\"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[DIGITS AND NUMBERS]" = "%Temp%\[THREAT FILE NAME]"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[DIGITS AND NUMBERS]" = "\%Temp%\[THREAT FILE NAME]\"


Na koniec tworzy dodatkowe wpisy do rejestru

Kod: Zaznacz cały

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"CleanShutdown" = "0"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%Temp%\[THREAT FILE NAME]" = "%Temp%\[THREAT FILE NAME]:*:Enabled:[THREAT FILE NAME]"


Atakujący może teraz już wykonywać kilka operacji, a wśród nich:
- wywoływanie poleceń shell
- instalować keyloggera
- pobierać informacje o komputerze
- modyfikować rejestr
- pobierać i uruchamiać pliki
- ładować i uruchamiać rozszerzenia
- robić zrzuty ekranu
- samodzielnie się odinstalować lub uaktualnić
- może też kopiować siebie na dyski przenośne i sieciowe.

Informacja pochodzi od firmy Symantec


Z ciekawości ściągnąłem na system - AVG nie wykrył Go.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.



  • Reklama

Wróć do „Zagrożenia i leczenie”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość