W32.Fixflo.B Trójai


2014. január 16. 12:59

CH azonosító

CH-10359

Angol cím

W32.Fixflo.B Trojan

Felfedezés dátuma

2014.01.05.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows

Összefoglaló

A W32.Fixflo.B olyan trójai, amely megfertőzi futtatható és dll fájlokat a számítógépen, valamint lehetővé teszi állományok letöltését és végrehajását a feltört számítógépen.

Leírás

Technikai részletek:

Bemásolja magát a következő helyre:
%CommonProgramFiles%Systemsymsrv.dll

Bemásolja a következő állományt a Windows Temp mappába:
%Temp%mccvn.sys

A regisztrációs adatbáziban a következő bejegyzéseket hozza létre, amelyek a Windows indulásakor minden esetben végrehajtódnak:

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows”LoadAppInit_DLLs” = “1”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows”RequireSignedAppInit_DLLs” = “0”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows”AppInit_DLLs” = “%CommonProgramFiles%Systemsymsrv.dll”

A regisztrációs adatbázisban létrehozza a következő bejegyzést:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”SFCDisable” = “FFFFFF9D” 

A regisztrációs adatbázisban módosítja a következő értékeket, hogy elrejtse jelenlétét

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced”ShowSuperHidden” = “0”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHidden”Type” = “radio”

Létrehoz egy KILLPRC nevű, Windows-os szolgáltatást

  • Startup Type: Manual
  • Image Path: %Temp%mccvn.sys
  • Display Name: KILLPRC

API-kal eseményeket figyel:

  • CreateFileW
  • ExitProcess
  • RegOpenKeyExA
  • RegOpenKeyExW
  • CreateProcessInternalW
  • CredReadW
  • MessageBoxTimeoutW

Megpróbál csatlakozni sorban az alábbi távoli szerverekhez további káros szoftverek letöltése végett

  • [http://]174.139.10.194/setu[REMOVED]
  • [http://]5isohu.com/setu[REMOVED]
  • [http://]www.aieov.com/setu[REMOVED]

Megfertőzi a futtatható és a DLL-kiterjesztésű állományokat és ellopja a hitelesítő adatokat a feltört számítógépen

Letöltet, majd futtat különféle programokat.

Megoldás

Használjon tűzfalat és vírusírtót, amelyet folyamtosan frissítse, növelje a jelszó-házirend erősségét, tiltsa le az automatikus lejátszást. Fájlmegostás esetén használjon ACL-eket és jelszavakat. Kapcsolja ki, majd távolítsa el a felesleges szolgáltatásokat.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Misconfiguration (Konfiguráció)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2025-48572 – Android Framework Privilege Escalation sérülékenysége
CVE-2026-21877 – n8n Remote Code Execution via Arbitrary File Write sérülékenység
CVE-2025-68668 – n8n Arbitrary Command Execution sérülékenység
CVE-2025-68613 – n8n Remote Code Execution via Expression Injection sérülékenység
CVE-2026-21858 – n8n Unauthenticated File Access via Improper Webhook Request Handling sérülékenység
CVE-2025-37164 – Hewlett Packard Enterprise OneView Code Injection sérülékenység
CVE-2009-0556 – Microsoft Office PowerPoint Code Injection sérülékenység
CVE-2026-0625 – D-Link DSL Command Injection via DNS Configuration Endpoint sérülékenység
CVE-2020-12812 – Fortinet FortiOS SSL VPN Improper Authentication sérülékenysége
CVE-2025-68428 – jsPDF path traversal sérülékenysége
Tovább a sérülékenységekhez »