Badabro trójai

CH azonosító

CH-11894

Angol cím

Trojan.Badabro

Felfedezés dátuma

2014.12.29.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 2000
Windows 7
Windows 98
Windows Millenium
Windows NT
Windows Vista
Windows XP

Érintett verziók

Windows 98
Windows 95
Windows XP
Windows 7
Windows Me
Windows Vista
Windows NT
Windows 2000

Összefoglaló

A Badabro trójai legfontosabb célja, hogy webes reklámokat jelenítsen meg a felhasználó számítógépén. Ehhez egy webböngésző szoftvert is feltelepít, amelyet alapértelmezettként jelöl meg. Amennyiben a felhasználó ennek az alkalmazásnak a segítségével böngészi az internetet, akkor kellemetlen és bosszantó meglepetésekben lehet része. Ráadásul a trójai emellett egy másik felbukkanó ablakot is megjelenít, amelyben a Norton ismertségére apellál: a Norton technikai támogatásának nevében próbálja különféle műveletek elvégzésére rávenni a felhasználót.

A Badabro ugyan önmagában nem okoz visszafordíthatatlan károkat, de az eltávolítása igencsak időigényes feladat lehet. Ennek oka, hogy a regisztrációs adatbázist nagyon sok ponton manipulálja, és számos új bejegyzést hoz létre abban.

A trójai elsősorban kártékony weboldalakon keresztül, ártalmatlan programoknak álcázva kerülhet fel a számítógépekre.

Leírás

1. Létrehozza a következő mappát:
C:Program Filesspeed browser
2. A fenti könyvtárba bemásolja a saját állományait
3. Létrehozza az alábbi parancsikonokat:
C:Documents and SettingsAll UsersDesktopspeed browser.lnk
C:Documents and SettingsAll UsersStart MenuProgramsspeed browserspeed browser.lnk
4. A regisztrációs adatbázishoz új bejegyzéseket fűz hozzá a
HKEY_LOCAL_MACHINESOFTWAREClasses kulcs alá
5. A regisztrációs adatbázis következő kulcsához új értékeket ad hozzá:
HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet
6. A regisztrációs adatbázist kiegészíti az alábbi bejegyzésekkel:
HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetspeed browserInstallInfoIconsVisible: 0x00000001
HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetspeed browserDefaultIcon: “C:Program Filesspeed browserApplicationbrowser.exe,0”
HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetspeed browserCapabilitiesApplicationDescription: “Browser is a web browser that runs webpages and applications with lightning speed. It’s fast, stable, and easy to use. Browse the web more safely with malware and phishing protection built into Browser.”
HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetspeed browserCapabilitiesApplicationIcon: “C:Program Filesspeed browserApplicationbrowser.exe,0”
HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetspeed browserCapabilitiesApplicationName: “speed browser”
HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetspeed browser: “speed browser”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{7D2B3E1D-D096-4594-9D8F-A6667F12E0AC}: “speed browser”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{7D2B3E1D-D096-4594-9D8F-A6667F12E0AC}StubPath: “”C:Program Filesspeed browserApplication38.0.2125.19Installerchrmstp.exe” –configure-user-settings –verbose-logging –system-level”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{7D2B3E1D-D096-4594-9D8F-A6667F12E0AC}Localized Name: “speed browser”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{7D2B3E1D-D096-4594-9D8F-A6667F12E0AC}IsInstalled: 0x00000001
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{7D2B3E1D-D096-4594-9D8F-A6667F12E0AC}Version: “24,0,0,0”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionApp Pathsbrowser.exe: “C:Program Filesspeed browserApplicationbrowser.exe”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionApp Pathsbrowser.exePath: “C:Program Filesspeed browserApplication”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallspeed browserDisplayName: “speed browser”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallspeed browserUninstallString: “”C:Program Filesspeed browserApplication38.0.2125.19Installersetup.exe” –uninstall –system-level”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallspeed browserInstallLocation: “C:Program Filesspeed browserApplication”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallspeed browserDisplayIcon: “C:Program Filesspeed browserApplicationbrowser.exe,0”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallspeed browserNoModify: 0x00000001
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallspeed browserNoRepair: 0x00000001
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallspeed browserPublisher: “Smart Applications”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallspeed browserVersion: “38.0.2125.19”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallspeed browserDisplayVersion: “38.0.2125.19”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallspeed browserInstallDate: “20141205”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallspeed browserVersionMajor: 0x0000084D
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallspeed browserVersionMinor: 0x00000013
HKEY_LOCAL_MACHINESOFTWARERegisteredApplicationsspeed browser: “SoftwareClientsStartMenuInternetspeed browserCapabilities”
HKEY_LOCAL_MACHINESOFTWAREChromiumCommandson-os-upgradeCommandLine: “”C:Program Filesspeed browserApplication38.0.2125.19Installersetup.exe” –on-os-upgrade –system-level –verbose-logging”
HKEY_LOCAL_MACHINESOFTWAREChromiumCommandson-os-upgradeAutoRunOnOSUpgrade: 0x00000001
HKEY_LOCAL_MACHINESOFTWAREChromiumCommandsinstall-extensionCommandLine: “”C:Program Filesspeed browserApplicationbrowser.exe” –limited-install-from-webstore=%1″
HKEY_LOCAL_MACHINESOFTWAREChromiumCommandsinstall-extensionSendsPings: 0x00000001
HKEY_LOCAL_MACHINESOFTWAREChromiumCommandsinstall-extensionWebAccessible: 0x00000001
HKEY_LOCAL_MACHINESOFTWAREChromiumCommandsinstall-extensionRunAsUser: 0x00000001
HKEY_LOCAL_MACHINESOFTWAREChromiumUninstallString: “C:Program Filesspeed browserApplication38.0.2125.19Installersetup.exe”
HKEY_LOCAL_MACHINESOFTWAREChromiumUninstallArguments: ” –uninstall –system-level”
HKEY_LOCAL_MACHINESOFTWAREChromiumname: “speed browser”
HKEY_LOCAL_MACHINESOFTWAREChromiumoopcrashes: 0x00000001
HKEY_LOCAL_MACHINESOFTWAREChromiumpv: “38.0.2125.19”
HKEY_LOCAL_MACHINESOFTWAREChromiumInstallerResult: 0x00000000
HKEY_LOCAL_MACHINESOFTWAREChromiumInstallerError: 0x00000000
HKEY_LOCAL_MACHINESOFTWAREChromiumInstallerSuccessLaunchCmdLine: “”C:Program Filesspeed browserApplicationbrowser.exe””
HKEY_LOCAL_MACHINESOFTWARESpeedBrowserct: “ct3330500”
HKEY_LOCAL_MACHINESOFTWARESpeedBrowserdomain: “getspeedbrowserp.com”
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParameters
FirewallPolicyStandardProfileAuthorizedApplicationsListC:Program Filesspeed browserApplicationbrowser.exe: “C:Program Filesspeed browserApplicationbrowser.exe:*:Enabled:speed browser”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParameters
FirewallPolicyStandardProfileAuthorizedApplicationsListC:Program Filesspeed browserApplicationbrowser.exe: “C:Program Filesspeed browserApplicationbrowser.exe:*:Enabled:speed browser”

7. A regisztrációs adatbázis következő kulcsait manipulálja:
HKEY_LOCAL_MACHINESOFTWAREClassesftpshellopencommand: “”C:Program FilesInternet ExplorerIEXPLORE.EXE” %1″
HKEY_LOCAL_MACHINESOFTWAREClassesftpshellopencommand: “”C:Program Filesspeed browserApplicationbrowser.exe” — “%1″”
HKEY_LOCAL_MACHINESOFTWAREClassesftpshellopenddeexec: “”%1″,,-1,0,,,,”
HKEY_LOCAL_MACHINESOFTWAREClassesftpshellopenddeexec: “”
HKEY_LOCAL_MACHINESOFTWAREClassesHTTPshellopencommand: “”C:Program FilesInternet ExplorerIEXPLORE.EXE” -nohome”
HKEY_LOCAL_MACHINESOFTWAREClassesHTTPshellopencommand: “”C:Program Filesspeed browserApplicationbrowser.exe” — “%1″”
HKEY_LOCAL_MACHINESOFTWAREClassesHTTPshellopenddeexec: “”%1″,,-1,0,,,,”
HKEY_LOCAL_MACHINESOFTWAREClassesHTTPshellopenddeexec: “”
HKEY_LOCAL_MACHINESOFTWAREClasseshttpsshellopencommand: “”C:Program FilesInternet ExplorerIEXPLORE.EXE” -nohome”
HKEY_LOCAL_MACHINESOFTWAREClasseshttpsshellopencommand: “”C:Program Filesspeed browserApplicationbrowser.exe” — “%1″”
HKEY_LOCAL_MACHINESOFTWAREClasseshttpsshellopenddeexec: “”%1″,,-1,0,,,,”
HKEY_LOCAL_MACHINESOFTWAREClasseshttpsshellopenddeexec: “”
HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet: “chrome.exe”
HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet: “browser.exe”
8. Megváltoztatja az alapértelmezett webböngészőt. Ekkor egy új böngészőt is feltelepít.
9. Webes hirdetéseket jelenít meg.
10. Egy felbukkanó ablakban a Norton ismertségével próbál visszaélni.

Megoldás

Használjon vírusvédelmi programot és tűzfalat, illetve rendszeresen frissítse azokat.


Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »