Kegotip trójai


2015. február 27. 10:40

CH azonosító

CH-12032

Angol cím

Kegotip trojan

Felfedezés dátuma

2015.02.26.

Súlyosság

Alacsony

Érintett rendszerek

Windows

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Kegotip trójai véletlenszerű fájlnevekkel ellátott állományok kíséretében kerülhet fel a számítógépekre. Amikor ez megtörténik, akkor módosítja a regisztrációs adatbázist, és rögtön nekilát az adatgyűjtéshez.

A Kegotip gyakran használt alkalmazások által tárolt adatokat próbál ellopni. Elsősorban FTP-szerverekhez tartozó hozzáférési adatokat (felhasználóneveket, jelszavakat) igyekszik összegyűjteni, de olyan jól ismert alkalmazásokat is átvizsgál, mint amilyen például a FileZilla vagy a Total Commander, illetve tevékenységével e-mail címeket is képes megszerezni.

A trójai az általa összegyűjtött adatokat egy előre meghatározott távoli kiszolgálóra tölti fel.

Leírás

1. Létrehozza a következő állományokat:

  • %Temp%MSWQ[véletlenszerű karakterek].tmp
  • %UserProfile%dotrudtegibd.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:

  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParameters FirewallPolicyStandardProfileAuthorizedApplicationsList”C:WINDOWSsystem32″ svchost.exe” = “%System%svchost.exe:*:Enabled:Microsoft Office”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion”VendorId” = “[…]”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”dotrudtegibd” = “%UserProfile%dotrudtegibd.exe”
  • HKEY_CURRENT_USERSoftwareStqbckeeiwwaw

3. Felhasználóneveket és jelszavakat gyűjt össze az alábbi alkalmazásokból:

  • SecureFX
  • FTP Rush
  • UltraFXP
  • ALFTP
  • FTP Commander
  • FTP Navigator
  • TurboFTP
  • SmartFTP
  • WS_FTP
  • FileZilla
  • Far Manager
  • Total Commander
  • GlobalSCAPE Software

4. E-mail címeket kutat fel a fertőzött rendszeren.

5. Az összegyűjtött információkat kiszivárogtatja a terjesztői számára.

Megoldás

  • Teljes rendszervizsgálat egy naprakész adatbázisú vírusírtóval.
  • Egyéb eszközök az eltávolításhoz:
  1. Norton Power Eraser Tool  (A program agresszív technikákat alkalmaz, így érdemes átnézni a törlésre kiválasztott programok listáját, nehogy egy tiszta programot távolítson el.) https://security.symantec.com/nbrt/npe.aspx?lcid=1033
  2. Symantec Power Eraser (SymHelp)  http://www.symantec.com/techsupp/home_homeoffice/products/sep/SymHelp.exe

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »