O97M/Donoff trójai

CH azonosító

CH-12936

Angol cím

TrojanDownloader: O97M/Donoff

Felfedezés dátuma

2015.09.08.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

Az O97M/Donoff trójai egy olyan kártékony makró script-es Microsoft Office fájl melyek más kártékony programot tölthet le.

Leírás

A kártékony makrókat tartalmazó Microsoft Office dokumentumok általában kéretlen levelek csatolmányaiban találhatóak meg. Ezekben a levelekben valamilyen szöveggel, megpróbálják rávenni az olvasót, hogy nyissák meg a csatolt dokumentumot.

Technikai részletek

 1. Az engedélyezett makrók a következő URL-ekről próbálnak meg fájlokat letölteni:

  • adobe-support.us/<removed>.exe
  • bringbackourgals.biz/php/<removed>/ken.exe
  • bustedrubberbabies.com/js/<removed>.exe
  • chinamanwoody.com/<removed>.php
  • chopsecurity.ru/microsoft/word/<removed>.com
  • climate54.ru/modules/mod_araticlhess/<removed>.php
  • colfdoc.it/cart/<removed>.exe
  • dhanophan.co.th/js/<removed>.exe
  • getimgdcenter.ru/<removed>.png
  • goldriverlinedancers.nl/components/dancers/<removed>.exe
  • goo.gl/<removed>
  • iloveberniemovie.ru/<removed>.png
  • internetincomeengine.net/<removed>.exe
  • joeniclesd.hostingsiteforfree.com/<removed>.exe
  • legendarydownloads.com/<removed>.exe
  • managercomponent.usa.cc/errors/<removed>.0.exe
  • offshorebags.asia/<removed>.exe
  • omc.hostingsiteforfree.com/<removed>.exe
  • papeleriaelcid.com/aurora/ajax/<removed>.exe
  • rghost.net/download/57465888/967d4c206f2a944160ffcc0f2b889f90a506653d/
    <removed>.exe
  • s1.directxex.net/uploads/<removed>
  • socialnetchat.tk/uch/<removed>.exe
  • u.to/<removed>

2. Létrehozza a következő állományokat:

  • APPDATAfdataupdate.com
  • APPDATAVTAYOVKKIET.exe
  • TEMP1101.exe
  • TEMP8fvk.exe
  • TEMPenu.exe
  • TEMPHZLAFFLTDDO.exe
  • TEMPmsml.exe
  • TEMPNYHEFLJDPZR.exe
  • TEMPsentinel.exe
  • TEMPxml.exe
  • USERPROFILEEPGRE.exe
  • USERPROFILEfkjhlkj23.com
  • USERPROFILESHIPA.exe
  • C:JGSNUWKJRFC.exe

3. További programokat szerez be, illetve futtat:

Megoldás

  • Ne nyisson meg imeretlen feladótól érkező üzeneteteket.
  • Használjon naprakész vírusírtó szofvert
  • Használjon anti SPAM programot

Hivatkozások

Egyéb referencia: www.microsoft.com


Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »