Destfallen

CH azonosító

CH-11870

Angol cím

Destfallen

Felfedezés dátuma

2014.12.14.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Destfallen trójai – megfelelő biztonsági mentések hiányában – helyreállíthatatlan károkat okozhat a fertőzött rendszereken. Ennek oka, hogy ha a rendszerdátum 2014. december 10. utánra mutat, akkor nekilát gyakran használt fájlok felülírásának. Vagyis az állományokat nem hagyományos törléssel kompromittálja, ami a helyreállítást nagyon megnehezítheti, vagy akár lehetetlenné teheti. A trójai futtatható fájlokat, dokumentumokat (.doc, .pdf) és tömörített állományokat is használhatatlanná tesz.

Leírás

A trójai egy megtévesztő névvel ellátott Windows-os szolgáltatást hoz létre, és annak felhasználásával, a háttérben végzi el a károkozásait. Eközben pedig az MBR-t (Master Boot Record) is manipulálja, ami az operációs rendszer betöltését is kedvezőtlenül érintheti.

1. Létrehozza a következő állományokat:
%Temp%XmlLite.dll
%Temp%wsss.dll

2. Létrehoz egy másolatot a WordPad-ból:
%Temp%Wordpad.exe

3. A Windows rendszerkönyvtárába bemásolja az alábbi fájlokat:
%System%bddsvc.dll
%System%iconsvc.dll
%System%ehressvc.dll
%System%netstsvc.dll
%System%pnas.dll
%System%pnrpmchname.dll
%System%pwpsvc.dll
%System%pcssvc.dll
%System%rregconf.dll
%System%scardmngsvc.dll
%System%tcpmsvc.dll
%System%tschmng.dll
%System%mmthread.dll
%System%wcmngsvc.dll
%System%coladj.dll
%System%wndmodmng.dll
%System%timesyncsvc.dll
%System%wiredconfsvc.dll
%System%wlanconf.dll
%System%wstmng.dll

4. Létrehoz egy Windows-os szolgáltatást, amelynek nevét az alábbi listából választja ki:
BitLocker Drive Decryption Service
Internet Connection Service
Media Center Service
Network Storage Service
Peer Networking Address
PNRP Machine Name
Power Policy
Program Compatibility Service
Remote Registry Configuration
Smart Card Management Service
Tablet PC Management Service
Task Schedule Manager
Thread Ordering Service
WebClient Manage Service
Windows Color Adjustment
Windows Modules Management
Windows Time Synchronization
Wired Config Service
WLAN Config Service
Workstation management

5. Felmásolja a rendszerre a következő fájlokat:
%Temp%Wordpad.exe
%Temp%XmlLite.dll
%Temp%wsss.dll

6. Amennyiben a rendszerdátum 2014. december 10. utáni napot mutat, akkor felülírja az alábbi kiterjesztésekkel rendelkező állományokat a helyi és a cserélhető adattárolókon is:
.hwp
.doc
.pdf
.docx
.alz
.zip
.rar
.egg
.iso
.exe
.dll
.sys

7. Manipulálja az MBR-t (Master Boot Record) 

8. A számítógép újraindítása után megjelenít egy ablakot a következő üzenettel:
“Who am I?”

Megoldás

Vírusirtó segítségével távolítsa el a fertőzést.

Hivatkozások

Egyéb referencia: www.isbk.hu


Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »