|
С появата на Flame и други модерни атаки, днес е много по-трудно да кажете дали е компрометирана или не защитата ви, като може да не наблюдавате нещо различно в поведението на компютъра си. Освен, ако не е заплаха която води доста странен ефект след себе си в поведението на атакуваният обект.
Заплахата е троянски кон с кодово име: Trojan.Milicenso.
Заплахата не е нова. Тя бе забелязана за пръв път през 2010 от Симантек и е заразила компютри в САЩ, Индия, Европа и Южна Америка.
Основната му цел е представянето на нежелани реклами на компютрите на жертвите.
Но в последните две седмици, троянският кон носи след себе си озадачаващи последици като ефект след атаката - кара заразените компютри да принтират до безкрай листове на които има отпечатани случайни знаци и символи, без да има видима причина.
Принтирането продължава докато свърши хартията.
А от Симантек даже удосотоиха заплахата с ново име: "принтираща бомба"!
Trojan.Milicenso може да се появи на компрометираната компютърна система по различни начини - посредством отварянето на зловредни имейл атачмънти или посещаването на сайтове, където има зловреден скрипт. В немалко случаi, заплахата е била част от фалшив медиен кодек.
Троянският кон създава и изпълнява дропнат изпълнителен файл, който на свой ред създава dll-файл в папка %System% , след което дропърът се самоунищожава
Следните файлове се създават:
%System%[СЛУАЙНО ФАЙЛОВО ИМЕ].exe
%ProgramFiles%[ИМЕ НА ПАПКА, КОЯТО ВЕЧЕ СЪЩЕСТВУВА][СЛУАЙНО ФАЙЛОВО ИМЕ].exe
%Temp%[СЛУАЙНО ФАЙЛОВО ИМЕ].exe
%System%[СЛУАЙНО ФАЙЛОВО ИМЕ].dll
%ProgramFiles%[ИМЕ НА ПАПКА, КОЯТО ВЕЧЕ СЪЩЕСТВУВА][СЛУАЙНО ФАЙЛОВО ИМЕ].dll
%Temp%[СЛУАЙНО ФАЙЛОВО ИМЕ].dll
Троянският кон може да създаде следните регистрови стойности, така че да възобновява действието си при всяко стартиране на компютъра:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun"[RANDOM VALUE]" = "[PATH TO TROJAN EXECUTABLE]"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"[RANDOM VALUE]" = "[PATH TO TROJAN EXECUTABLE]"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionpoliciesExplorerRun"[RANDOM VALUE]" = "[PATH TO TROJAN EXECUTABLE]"
Той запазва информация за себе си най-често в:
HKEY_LOCAL_MACHINESOFTWARE[RANDOM VALUE]
HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindowsCurrentVersionInternet Settings
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings
HKEY_LOCAL_MACHINESOFTWAREMicrosoftMultimedia
HKEY_CURRENT_USER Software MicrosoftMultimedia
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
В зависимост от конфигурацията, всеки файл попаднал в тази папка задава задача за принтиране. Но какво става? Файлът не може да бъде разчетен правилно, а задачата за принтиране тръгва отново и отново. Поне докато свърши хартията. Според специалистите от Симантек, това е нежелан и случаен ефект на троянският кон, който не е търсен от създателя му.
Повече за атаката на:
http://www.symantec.com/connect/blo...dream-come-true
|
