Az Eskiuel trójai a nem megfelelően védett adatbázisszervereken képes károkat okozni, illetve terjedni.

Az Eskiuel trójai elsősorban olyan számítógépeket próbál megfertőzni, amelyek SQL Server adatbáziskezelőt is futtatnak. Azokon a számítógépeken, amelyekre rákerül, végigpásztázza a hálózatot, és SQL Server szolgáltatásokat nyújtó kiszolgálókat keres. Amennyiben talál ilyet, akkor “brute force” (nyers erő) módszerekkel támadásokat indít azok ellen, és előre meghatározott jelszavak révén próbál az adatbázisokhoz hozzáférést szerezni. Amennyiben ez sikerül számára, akkor FTP-n keresztül letölt egy kártékony programot, amelynek révén további káros műveleteket hajt végre. A trójai különféle batch állományok felhasználásával gyengíti meg a már amúgy is fertőzött számítógépek védelmét, és tárolt eljárások felhasználásával próbál az SQL Serverek között terjedni.

Szervereket támad az Eskiuel trójai

Amikor az Eskiuel trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlt, illetve könyvtárat:
    %System%\dnary.mdb
    %System%\ZeHin
  2. Interneten keresztül kártékony fájlt tölt le az előbbiekben létrehozott könyvtárba.
  3. Letörli a következő állományokat:
    %System%\ias\dnary.mdb
    %System%\ias\ias.mdb
  4. Módosítja a %System%\ftp.exe fájlhoz tartozó hozzáférési jogosultságokat.
  5. A regisztrációs adatbázisban módosítja a következő bejegyzést:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Jet\4.0\Engines”SandBoxMode” = “3”
  6. SQL Servert futtató kiszolgálók után kezd el kutakodni.
  7. Amennyiben talál ilyen szervert, akkor az ellen “brute force” módszerekre épülő támadásokat indít annak érdekében, hogy hozzáférést szerezzen az adatbázisokhoz. Ehhez előre definiált jelszavakkal próbálkozik.
  8. Parancssori ablakban különböző batch állományokat futtat le, amelyekkel tovább gyengíti a fertőzött számítógépek védelmi állapotát.
  9. Az ftp parancs segítségével FTP-n keresztül kártékony fájlt tölt le.
  10. Tárolt eljárások révén próbál az SQL Serverek között terjedni.