Destfallen


2014. december 16. 08:00

CH azonosító

CH-11870

Angol cím

Destfallen

Felfedezés dátuma

2014.12.14.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Destfallen trójai – megfelelő biztonsági mentések hiányában – helyreállíthatatlan károkat okozhat a fertőzött rendszereken. Ennek oka, hogy ha a rendszerdátum 2014. december 10. utánra mutat, akkor nekilát gyakran használt fájlok felülírásának. Vagyis az állományokat nem hagyományos törléssel kompromittálja, ami a helyreállítást nagyon megnehezítheti, vagy akár lehetetlenné teheti. A trójai futtatható fájlokat, dokumentumokat (.doc, .pdf) és tömörített állományokat is használhatatlanná tesz.

Leírás

A trójai egy megtévesztő névvel ellátott Windows-os szolgáltatást hoz létre, és annak felhasználásával, a háttérben végzi el a károkozásait. Eközben pedig az MBR-t (Master Boot Record) is manipulálja, ami az operációs rendszer betöltését is kedvezőtlenül érintheti.

1. Létrehozza a következő állományokat:
%Temp%XmlLite.dll
%Temp%wsss.dll

2. Létrehoz egy másolatot a WordPad-ból:
%Temp%Wordpad.exe

3. A Windows rendszerkönyvtárába bemásolja az alábbi fájlokat:
%System%bddsvc.dll
%System%iconsvc.dll
%System%ehressvc.dll
%System%netstsvc.dll
%System%pnas.dll
%System%pnrpmchname.dll
%System%pwpsvc.dll
%System%pcssvc.dll
%System%rregconf.dll
%System%scardmngsvc.dll
%System%tcpmsvc.dll
%System%tschmng.dll
%System%mmthread.dll
%System%wcmngsvc.dll
%System%coladj.dll
%System%wndmodmng.dll
%System%timesyncsvc.dll
%System%wiredconfsvc.dll
%System%wlanconf.dll
%System%wstmng.dll

4. Létrehoz egy Windows-os szolgáltatást, amelynek nevét az alábbi listából választja ki:
BitLocker Drive Decryption Service
Internet Connection Service
Media Center Service
Network Storage Service
Peer Networking Address
PNRP Machine Name
Power Policy
Program Compatibility Service
Remote Registry Configuration
Smart Card Management Service
Tablet PC Management Service
Task Schedule Manager
Thread Ordering Service
WebClient Manage Service
Windows Color Adjustment
Windows Modules Management
Windows Time Synchronization
Wired Config Service
WLAN Config Service
Workstation management

5. Felmásolja a rendszerre a következő fájlokat:
%Temp%Wordpad.exe
%Temp%XmlLite.dll
%Temp%wsss.dll

6. Amennyiben a rendszerdátum 2014. december 10. utáni napot mutat, akkor felülírja az alábbi kiterjesztésekkel rendelkező állományokat a helyi és a cserélhető adattárolókon is:
.hwp
.doc
.pdf
.docx
.alz
.zip
.rar
.egg
.iso
.exe
.dll
.sys

7. Manipulálja az MBR-t (Master Boot Record) 

8. A számítógép újraindítása után megjelenít egy ablakot a következő üzenettel:
“Who am I?”

Megoldás

Vírusirtó segítségével távolítsa el a fertőzést.

Támadás típusa

Manipulation of data

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.isbk.hu

Legfrissebb sérülékenységek
CVE-2026-24858 – Fortinet Multiple Products Authentication Bypass Using an Alternate Path or Channel sérülékenység
CVE-2026-1448 – D-Link sérülékenysége
CVE-2026-23745 – “node-tar” Library Path Traversal sérülékenység
CVE-2026-21509 – Microsoft Office Security Feature Bypass sérülékenység
CVE-2026-24061 – GNU InetUtils Argument Injection sérülékenység
CVE-2026-23760 – SmarterTools SmarterMail Authentication Bypass Using an Alternate Path or Channel sérülékenység
CVE-2025-52691 – SmarterTools SmarterMail Unrestricted Upload of File with Dangerous Type sérülékenység
CVE-2018-14634 – Linux Kernel Integer Overflow sérülékenység
CVE-2025-54313 – Prettier eslint-config-prettier Embedded Malicious Code sérülékenység
CVE-2025-31125 – Vite Vitejs Improper Access Control sérülékenység
Tovább a sérülékenységekhez »