Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

TrojanProxy.Win32.Bobax.a - atakuję przez dziurę w usłudze LSASS

Jest to zaszyfrowany koń trojański rozprzestrzeniający się przez internet. Atakuje systemy Windows za pośrednictwem luki w zabezpieczeniach usługi LSASS. Szkodnik powstał przy użyciu środowiska programistycznego, a jego rozmiar to 20 480 bajtów.

Instalacja

Po załadowaniu trojan deszyfruje swój kod i zapisuje go w folderze tymczasowym jako plik DLL. Nazwa tego pliku posiada format ~xxxx.tmp, gdzie xxxx to losowy ciąg heksadecymalny.

Utworzony plik DLL zawiera główny komponent konia trojańskiego, a jego rozmiar to 17 920 (kompresja UPX).

Po załadowaniu pliku DLL moduł wykonywalny kopiowany jest do folderu systemowego Windows z losową nazwą . W celu oznaczenia swej obecności w zainfekowanym systemie trojan tworzy identyfikator 00:24:03:54A9D i zapisuje w rejestrze klucz auto-run:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices]=

Nazwa klucza jest losowa i posiada format heksadecymalny.

Funkcja dodatkowa

Bobax.a pozwala hakerowi na wykonywanie następujących operacji na zainfekowanym komputerze:

  • aktualizacja kodu trojana,
  • pobieranie i uruchamianie programów,
  • rozprzestrzenianie trojana za pośrednictwem luki w usłudze LSASS,
  • masowe wysyłanie wiadomości e-mail,
  • pobieranie informacji o zainfekowanym systemie,

Data i czas dodania sygnatury szkodnika do antywirusowych baz danych firmy Kaspersky Lab: 16 maja 2004, 17:39



 2004-05-16  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych