Shrnutí
Backdoor:Win32/Phdet je generická detekce pro rodinu backdoor trojských koní, která se používá k provádění Distributed Denial of Service útoky proti některým cílům.
Příznaky
Nejsou žádné běžné příznaky spojené s touto hrozbou. Varovná oznámení z nainstalovaný antivirový software, může být jediným příznakem (y).
Technické informace (analýza)
Backdoor:Win32/Phdet je generická detekce pro rodinu backdoor trojských koní, která se používá k provádění Distributed Denial of Service útoky proti některým cílům.
Instalace
Kdy Backdoor:Win32/Phdetse provádí, zkopíruje se do <system folder>. Používá název souboru se může u různých variantách. Například, jeden vzorek pozorován aby kopíroval sám sebe do následujícího umístění:
- <system folder> \ mssrv32.exe
Backdoor:Win32/Phdet vytváří službu spustit jeho kopii úpravou registru, například:
Chcete-li podklíč: HKLM \ SYSTEM \ CurrentControlSet \ Services \ msupdate
Přidanou hodnotu: "ImagePath"
Vzhledem k objemu dat: "<system folder> \ mssrv32.exe"
Vzhledem k objemu dat: "<system folder> \ mssrv32.exe"
Přidanou hodnotu: "DisplayName"
s údaji: "Microsoft aktualizace zabezpečení služby"
s údaji: "Microsoft aktualizace zabezpečení služby"
Přidanou hodnotu: "Popis "
s údaji: "Tato služba stahování a instalaci aktualizací zabezpečení systému Windows"
s údaji: "Tato služba stahování a instalaci aktualizací zabezpečení systému Windows"
Přidanou hodnotu: "objectname"
s údaji: "LocalSystem"
s údaji: "LocalSystem"
Přidanou hodnotu: "Start"
S údajů: 2
S údajů: 2
Přidanou hodnotu: "ErrorControl"
S údajů: 0
S údajů: 0
Přidanou hodnotu: "typ"
S dat: 16
S dat: 16
Užitečná
Provádí popření servisních útoků
Pomocí tohoto backdoor, může útočník provést popření servisních útoků proti některým cílům. Vzdálený útočník může použít tento backdoor provádět následující akce na postiženém počítači:
- povodeň - provádět povodňové útoky pomocí ICMP, SYN, HTTP nebo UDP
- stop - malware spí
- die - odinstaluje malware
- otevřít - spustit určité adresy URL pomocí IEXPLORE.EXE
Backdoor:Win32/Phdetmohou také zveřejnit informace týkající se systému na vzdálený počítač. Sledovali jsme jeden vzorek styku hack-off.ru pro tento účel.
Žádné komentáře:
Okomentovat