Proslikefan.B trójai


2014. november 14. 08:19

CH azonosító

CH-11803

Angol cím

JS.Proslikefan.B

Felfedezés dátuma

2014.11.12.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A Proslikefan.B féreg kártékony weboldalakon keresztül terjed. Ahhoz, hogy a különféle nemkívánatos állományai felkerülhessenek a célkeresztbe állított rendszerekre, néhány JavaScriptet vet be. Mivel a készítői egy időalapú mechanizmussal is ellátták, ezért interneten keresztül lekérdezi a pontos időt, és ha 2014. január 1. utáni időszakot észlel, akkor aktivizálódik. Amennyiben minden feltétel adott a működéséhez, akkor feltérképezi a cserélhető meghajtókat és az operációs rendszer legfontosabb paramétereit. 

Leírás

A Proslikefan.B nem okoz kárt virtuális gépeken, ugyanis az ilyen környezetek észlelésekor azonnal leállítja a saját folyamatait. Többek között ezzel próbálja megnehezíteni az elemzését. A jelenlétét különféle rendszerbeállítások módosításával és megtévesztő parancsikonok létrehozásával igyekszik leplezni.

1. Létrehozza a következő állományokat:
%meghajtó betűjele%:.Trashes[véletlenszerű karakterek][véletlenszerű karakterek].js
%UserProfile%Local SettingsTemp[véletlenszerű karakterek].js
%UserProfile%[véletlenszerű karakterek].js
%UserProfile%AppDataRoaming[véletlenszerű karakterek].js

2. Minden cserélhető adathordozón létrehoz egy .Trashes[véletlenszerű karakterek] mappát.

3. Felmásolja a rendszerre az alábbi fájlokat:
%UserProfile%[véletlenszerű fájlnév].exe
%UserProfile%AppDataRoaming[véletlenszerű fájlnév].exe

4. A regisztrációs adatbázisban módosítja a következő állományokat:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden = 1 or 2
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowSuperHidden = 0 or 1

5. Interneten keresztül lekérdezi a pontos időt.

6. Ellenőrzi, hogy a rendszerdátum 2014. január 1-nél nagyobb-e.

7. Csatlakozik a vezérlőszerveréhez.

8. Leállítja saját magát, amennyiben virtuális gépre utaló jeleket észlel.

9. Különféle folyamatokat állít le.

10. Módosít egyes fájlokhoz beállított jogosultságokon.

11. Interneten keresztül frissíti a saját állományait.

12. Rendszerinformációkat gyűjt össze.

13. Parancsikonokat hoz létre a Start menübe:
%SystemDrive%ProgramDataMicrosoftWindowsStart MenuProgramsStartupWindows Explorer.lnk
%UserProfile%Start MenuProgramsStartupWindows Explorer.lnk
%UserProfile%]AppDataRoamingMicrosoftWindowsStart MenuProgramsStartupWindows Explorer.lnk


Támadás típusa

Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com
Egyéb referencia: www.isbk.hu

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-2884 – TCG Out-of-Bounds read sérülékenysége
CVE-2025-24052 – Windows Agere Modem Driver Elevation of Privilege sérülékenysége
CVE-2025-0033 – SEV-SNP RMP Initialization sérülékenysége
CVE-2025-62214 – Visual Studio Remote Code Execution sérülékenysége
CVE-2025-62199 – Microsoft Office Remote Code Execution sérülékenysége
CVE-2025-59504 – Azure Monitor Agent Remote Code Execution sérülékenysége
CVE-2025-12480 – Gladinet Triofox Improper Access Control sérülékenysége
CVE-2025-62215 – Windows Kernel Elevation of Privilege sérülékenysége
CVE-2025-12058 – Keras sérülékenysége
Tovább a sérülékenységekhez »