Backdoor Black Energy

radioactive-iconBlack Energy; Lancafdo olarak da bilinen, bilgisayarda arka kapı bırakan zararlı bir yazılımdır. Son olarak sezgisel motorlar ile tespit edilen Backdoor.Lancafdo!gm varyantı ise Ukrayna hükümeti ve Ukrayna’da faaliyet gösteren organizasyonların bilgisayarlarına yönelik bilgi çalma amacıyla saldırılar gerçekleştirmiştir. Konu ile alakalı F-Secure Whitepapers sayfası incelenebilir.

  • Adı : Backdoor:W32/BlackEnergy.A
  • Keşif tarihi : 21 Eylül 2008
  • Diğer isimleri : Lancafdo, Blakken, MalCrypt.Indus!, Phdet.A,
  • Tipi: Trojan
  • Seviye : Orta
  • Platform : Windows 2000, Windows 7, Windows NT, Windows Server 2003, Windows Vista, Windows XP

Çalıştırıldığında kendisini %System%\mssrv32.exe dosyasına kopyalar. Microsoft Security Güncelleme servisi gibi gösterir.

Yine kendisini sistem servisi gibi gösterip, regedit ayalarında değişiklik yapar:

 

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msupdate\”Type” = “00000010”
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msupdate\”Start” = “00000002”
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msupdate\”ObjectName” = “LocalSystem”
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msupdate\”ImagePath” = “%System%\mssrv32.exe”
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msupdate\”ErrorControl” = “00000000”
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msupdate\”DisplayName” = “Microsoft security update service”
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msupdate\”Description” = “This service downloading and installing Windows security updates”
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AFD\Parameters\”DisableRawSecurity” = “00000001”

 

{F3532CE1-0832-11B1-920A-25000A276A73} Mutexini oluşturarak %System%\svchost.exe dosyasına yerleşir.  [http://]cxim.inattack.ru/www3/www/stat[REMOVED] linki ile iletişime geçer, bilgisayar adı ile birlikte trojan versiyonunu gönderir.

Saldırgan bu an itibariyle, bilgisayarı dDos ataklarında kullanabilmek için köle bilgisayara dönüştürebilir, Internet Explorer üzerinden sayfalara girebilir, dosya indirip açabilir, trojanı durdurup, kaldırabilir.

Yine söz konusu zararlının farklı bir varyantı (Backdoor.Lancafdo.A) {3D5A1694-CC2C-4ee7-A3D5-A879A9E3A623} mutexini oluşturarak çeşitli farklılıklarda (random) dosyalar ile aynı işlemleri yapmak üzere bilgisayarı ele geçirebilir.

Reklamlar

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s