Tsyrval.B trójai


2016. február 17. 10:46

CH azonosító

CH-13037

Angol cím

Tsyrval.B trojan

Felfedezés dátuma

2016.02.16.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Tsyrval.B trójai két alapvető feladattal rendelkezik. Egyrészt szerepet vállal adatszivárogtatásban, másrészt egy hátsó kapu létesítésével elérhetővé teszi a fertőzött rendszer erőforrásait. A károkozó első körben rendszerinformációkat kérdez le, különös tekintettel az operációs rendszer paramétereire, a hálózati beállításokra, valamint a felhasználói fiókokra. Ezt követően figyeli, hogy a felhasználó mikor csatlakoztat egy cserélhető adathordozót, például pendrive-ot a számítógéphez, és amint ez megtörténik, akkor az adattárolóról lemásolja a Word, az Excel és a PowerPoint állományokat, dokumentumokat.

Leírás

A Tsyrval.B az általa létrehozott hátsó kapun keresztül a következő tevékenységek elvégzésére utasítható:
– parancsok végrehajtása
– a Skype-os üzenetküldés, illetve a hang- és videohívások rögzítése
– képernyőképek készítése.

Technikai részletek:

1. Létrehozza a következő állományokat:

  • %AppData%Inteldtl.dat
  • %AppData%Intelglp.uin
  • %AppData%Intelhccutils.dll
  • %AppData%Intelhccutils.inf
  • %AppData%Intelhjwe.dat
  • %AppData%Inteligfxtray.exe
  • %AppData%Intelqhnj.dat
  • %AppData%IntelQQMgr.dll
  • %AppData%IntelQQMgr.inf
  • %AppData%IntelResN32.dat
  • %AppData%IntelResN32.dll
  • %AppData%Inteltyeu.dat
  • %AppData%Intelvnkd.dat

2. A regisztrációs adatbázishoz hozzáadja a következő értékeket:

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”Eupdate” = “”c:windowssystem32rundll32.exe” “%AppData%IntelResN32.dll” Run”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”update” = “”c:windowssystem32rundll32.exe” “%AppData%IntelResN32.dll” Run”
  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows”AppInit_DLLs” = “%AppData%IntelResN32.dll”
  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows”LoadAppInit_DLLs” = “1”

3. Létrehoz néhány mutexet, hogy egyszerre csak egy példányban fusson.

4. Csatlakozik egy távoli kiszolgálóhoz a 8080-as TCP porton keresztül.

5. Rendszerinformációkat gyűjt össze.

6. Végrehajtja a támadók által kijelölt műveleteket.

7. A cserélhető meghajtókról lementi a következő kiterjesztésekkel rendelkező állományokat:

  • .doc
  • .docx
  • .ppt
  • .pptx
  • .xls
  • .xlsx

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket).
  • Használjon offline biztonsági mentést.
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Trójai
backdoor

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »