Trojan.Asterope


2014. július 27. 06:53

CH azonosító

CH-11459

Angol cím

Trojan.Asterope

Felfedezés dátuma

2014.07.22.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows XP
Windows 7
Windows Vista
Windows NT
Windows 2000

Összefoglaló

Az Asterope trójai internetes reklámok visszaéléseiből próbál hasznot húzni. A kártékony program a számítógépeken manipulációkat hajt végre, ezáltal a kattintás alapú csalásokat könnyíti meg. A trójai módosítja a regisztrációs adatbázist úgy, hogy értékeket változtat meg és hoz létre az Internet Explorer kárára. Az Asterope trójai egy konfigurációs fájl segítségével távolról vezérelhető. A kártékony program – amikor letölti a komponenseit- olyan információkhoz jut hozzá, amivel kezdeményezhet átirányításokat, valamint manipulálni tudja az URL-eket. A számítógépekre szükség esetén Flash Playert is telepíthet.

Leírás

1.A következő állományokat hozza létre:
%Temp%tmp[véletlenszerű karakterek].exe
%UserProfile%Application DataMicrosoftWindows[véletlenszerű karakterek].exe
%AllUsersProfile%Start MenuProgramsStartup[véletlenszerű karakterek].lnk
%UserProfile%Start MenuProgramsStartup[véletlenszerű karakterek].lnk
2.Az alábbi értékeket hozzáadja a regisztrációs adatbázishoz:
%HKEY_CURRENT_USER%SoftwareMicrosoftWindowsCurrentVersionExplorerVisualEffectsTooltipShadow”DefaultValue” = “0”
%HKEY_CURRENT_USER%SoftwareMicrosoftWindowsCurrentVersionExplorerVisualEffectsTooltipShadow”DefaultApplied” = “65”
%HKEY_CURRENT_USER%SoftwareMicrosoftWindowsCurrentVersionExplorerVisualEffectsTooltipShadow”random value” = “[…]”
3.A regisztrációs adatbázis következő kulcsaiban szereplő értékeket manipulálja:
HKEY_CURRENT_USERControl PanelDesktop
HKEY_CURRENT_USERSoftwareMicrosoftCommand Processor
HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Internet SettingsZones
4.Az alábbi értékeket hozzáfűzi a regisztrációs adatbázishoz:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
PoliciesExplorer”Run” = “%UserProfile%Application DataMicrosoftWindows[véletlenszerű karakterek].exe”””
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
“[RANDOM FILE NAME]” = “%UserProfile%Application DataMicrosoftWindows[véletlenszerű karakterek].exe”””
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
RunOnce”[RANDOM FILE NAME]” = “%UserProfile%Application DataMicrosoftWindows[véletlenszerű karakterek].exe”””
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet Explorer”GlobalUserOffline” = “0”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain”NoProtectedModeBanner” = “1”
5.Egy konfigurációs állományt tölt le az interneten keresztül, amely alapján további műveleteket hajt végre.
6.Néhány mutexet hoz létre.

Támadás típusa

Manipulation of data

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2025-48572 – Android Framework Privilege Escalation sérülékenysége
CVE-2026-21877 – n8n Remote Code Execution via Arbitrary File Write sérülékenység
CVE-2025-68668 – n8n Arbitrary Command Execution sérülékenység
CVE-2025-68613 – n8n Remote Code Execution via Expression Injection sérülékenység
CVE-2026-21858 – n8n Unauthenticated File Access via Improper Webhook Request Handling sérülékenység
CVE-2025-37164 – Hewlett Packard Enterprise OneView Code Injection sérülékenység
CVE-2009-0556 – Microsoft Office PowerPoint Code Injection sérülékenység
CVE-2026-0625 – D-Link DSL Command Injection via DNS Configuration Endpoint sérülékenység
CVE-2020-12812 – Fortinet FortiOS SSL VPN Improper Authentication sérülékenysége
CVE-2025-68428 – jsPDF path traversal sérülékenysége
Tovább a sérülékenységekhez »