Při spuštění Trojan, vytvoří následující soubory:
- % ProgramFiles% \ Internet Explorer \ lg.dat
- % Windir% \ tp.ds
- % Windir% \ tp.dat
- % Windir% \ linkinfo.dll
To pak vytvoří následující mutex, aby pouze jedna instance běží na počítači ohrožena:
ExplorerIsShellMutex Další, otevře zadní dveře po připojení na následujících místech a čeká na příkazy ze vzdáleného útočníka:
- [Http://] www.ancold.org.au/mycfg/mycmd/ [KÓDOVÁNO HO [ODSTRANIT]
- [Http://] www.ancold.org.au / mycfg / myscr / Myup [ODSTRANIT]
Vzdálený útočník může provádět následující akce:
- Přidat informace o systému
- Stáhnout, nahrát, spustit, mazat, přesouvat a kopírovat soubory
- Spuštění vzdáleného shellu
- Seznam spuštěných procesů
- Seznam obsahuje lokální disk
- Hledat místní soubory
- Vytvoření a odstranění adresáře
- Stáhnout aktualizovanou konfigurační soubor
- Změna frekvence intervalů, ve kterých se počítač kontakty vzdálený server
- Provést shellcode
- Změna velitelské a řídící servery
- Vypnout nebo restartovat počítač ohrožena
- Odhlášení aktuálního uživatele
Žádné komentáře:
Okomentovat