بدافزار Shadow Force، یکی از سایتهای خبری کره جنوبی را از طریق سرقت DLL موردحمله قرارداد.
حمله بدافزار از زمان اجرای سرویس Microsoft Distributed Transaction Coordinator آغاز میشود. این سرویس وظیفه مدیریت منابع مختلف و هماهنگی آنها باهم، ازجمله پایگاه داده، پیامها و فایلهای سیستمی را دارد. هنگامیکه سیستم آلودهشده به Domain خود وصل میشود، این سرویس اجراشده و دنبال فایلهای dll خاصی در رجیستری میگردد.
این سرویس به دنبال سه dll بانامهای oci.dll، SQLLib80.dll و xa80.dll میگردد. هکر نام بکدور خود را به oci.dll تغییر داده و آن را در مسیر system32 قرار میدهد. سپس هکر با راهاندازی مجدد سرویس MSDTC باعث میشود تا سرویس بکدور را اجرا کند. بدین ترتیب شناسایی بکدور با ابزارهای شناسایی autorun.exe مشکل میشود.
بدافزار Shadow Force شامل نسخههای مختلفی میشود. نسخه .exe آن دارای نسخههای 32 بیتی و 64 بیتی است که متناسب با سیستم هدف، نصب میشوند و بانام SuperBot شناخته میشوند. پس از نصب، بدافزار با سرور C&C یعنی irc[.]itembuy[.]org ارتباط برقرار میکند.
نوع dll آن متفاوت است و بهجای ارتباط با سرور C&C فایل npf.sys را دانلود میکند. این فایل بخشی از وایرشارک، محبوبترین ابزار بررسی ترافیک است. بدین ترتیب بدافزار میتواند بستههای شبکه را بدون مشکل بررسی کند.
پس از دسترسی، هکر میتواند فایلهای مختلفی را ازجمله fileh.exe، latinfect.exe و aio.exe بهمنظور دسترسی بیشتر، بر روی سامانه قربانی نصب کند.