StyleServ kenkėjiška programa veikia kaip Backdoor
StyleServ yra klasifikuojama kaip užpakalinių durų tipo kenkėjiška programa, kuri patenka į kenkėjiškų programų kategoriją, skirtą paruošti sistemą tolesniam įsiskverbimui arba vykdyti antrąjį užkrėtimo etapą. Nors tikslus „StyleServ“ tikslas šiuo metu lieka neaiškus, labai tikėtina, kad jis bus preliminari priemonė, palengvinanti vėlesnes infekcijas.
Kaip minėta anksčiau, šios ataskaitos pateikimo metu tikslios StyleServ funkcijos lieka neaiškios. Nepaisant to, tikėtina, kad ši kenkėjiška programa naudojama norint nuskaityti tinklus, į kuriuos ji įsiskverbė, ieškant informacijos, kuri gali padėti paspartinti ataką, pvz., nustatyti esamus taikinio pažeidžiamumus.
Labai svarbu pabrėžti, kad tokios priemonės dažniausiai naudojamos įvairioms tikslinėms atakoms, kurios priklauso nuo konkretaus taikinio ir jo saugumo spragų ar jų nebuvimo.
Yra žinoma, kad StyleServ infekcijos naudoja DLL šoninio įkėlimo techniką. Ši technika panaudoja „Windows“ DLL paieškos užsakymo mechanizmą, kad išnaudotų teisėtą programą kenkėjiškam naudingajam kroviniui vykdyti, pvz., „StyleServ“.
Šios užpakalinės durys naudojamos pasyvioms atakoms, apimančioms sistemos stebėjimą, kuri gali apimti tokias veiklas kaip pažeidžiamumų ir atvirų prievadų nuskaitymas. Kai kurioms pasyvioms atakoms reikia minimalios sąveikos su tiksline sistema, o kitos – aktyvioje žvalgyboje. Pastarojo pavyzdys yra prievadų nuskaitymas, kuriuo siekiama rinkti informaciją apie tinklo veikimą, daugiausia dėmesio skiriant galimų silpnų vietų ir gilesnio įsiskverbimo būdų nustatymui.
„StyleServ“ veikimo režimas
StyleServ infekcijų atveju, kai DLL suaktyvinamas, jis inicijuoja penkias gijas, kurių kiekviena priskiriama kitam prievadui. Šios gijos periodiškai bando pasiekti failą pavadinimu "stylers.bin" kas 60 sekundžių. Failo teisėtumas nustatomas pagal jo prieinamumą ir tai, ar jis atitinka tam tikrus kriterijus.
Jei failas laikomas galiojančiu, jį tinklo užklausose naudoja tolesnės gijos. Gijos pirmiausia tarnauja kaip užšifruotos "stylers.bin" versijos ir veikia kaip nuotolinio ryšio receptoriai, stebintys tinklo lizdų elgseną.
Svarbu pažymėti, kad „StyleServ“ turi silpną ryšį su Cur kenkėjiškų programų grupe; šios užpakalinės durys pavyzdį pateikė tas pats vartotojas, kuris įkėlė CurLu įkėlimo programos variantą. Jei pasitvirtins spėlionės dėl StyleServ sąsajos su CurLu infekcija, tai užmegs ryšį tarp StyleServ ir to paties grėsmės veikėjo, naudojant programas, susijusias su Cur kenkėjiškų programų šeima.
