Egguard trójai

CH azonosító

CH-13538

Angol cím

Trojan.Egguard

Felfedezés dátuma

2016.09.01.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

Az Egguard trójai a fertőzött számítógépre különböző ártalmas állományt tölt le és kártékony JavaScript kódot illeszt a megtekinteni kívánt honlapok forrásába.

Leírás

Az Egguard trójai WindowsSecurity nevű szolgáltatásként fut a fertőzött számítógépen. A megtévesztő elnevezés ellenére a szolgáltatás semmilyen módon sem tartozik a Windows operációs rendszer megfelelő működéséhez. 

A trójai működésképtelenné teheti a Windows Bztonsági Központot, illetve az alapértelmezett tűzfalat.

A kártékony program közbeékelődéses támadás (man-in-the-middle) lehetővé tétele érdekében SSL tanúsítványt telepít a fertőzött eszközre, amellyel a támadók lehallgathatják, vagy manipulálhatják az adatforgalmat.

Technikai részletek:

A trójai az alábbi állományokat hozza létre:

  • %ProgramData%MicrosoftNetworkDsqbrowsersyshostctl.exe
  • %ProgramData%MicrosoftNetworkDsqchromelibvlc.dll
  • %ProgramData%MicrosoftNetworkDsqchromevlc.exe
  • %ProgramData%MicrosoftNetworkDsqchromework.dll
  • %ProgramData%MicrosoftNetworkDsqfuncca.crt
  • %ProgramData%MicrosoftNetworkDsqfuncca.key
  • %ProgramData%MicrosoftNetworkDsqfunccert8.db
  • %ProgramData%MicrosoftNetworkDsqfunccertutil.exe
  • %ProgramData%MicrosoftNetworkDsqfuncfreebl3.dll
  • %ProgramData%MicrosoftNetworkDsqfunckey3.db
  • %ProgramData%MicrosoftNetworkDsqfunclibnspr4.dll
  • %ProgramData%MicrosoftNetworkDsqfunclibplc4.dll
  • %ProgramData%MicrosoftNetworkDsqfunclibplds4.dll
  • %ProgramData%MicrosoftNetworkDsqfunclibvlc.dll
  • %ProgramData%MicrosoftNetworkDsqfuncmsvcr100.dll
  • %ProgramData%MicrosoftNetworkDsqfuncnss3.dll
  • %ProgramData%MicrosoftNetworkDsqfuncnssckbi.dll
  • %ProgramData%MicrosoftNetworkDsqfuncnssdbm3.dll
  • %ProgramData%MicrosoftNetworkDsqfuncnssutil3.dll
  • %ProgramData%MicrosoftNetworkDsqfuncsecmod.db
  • %ProgramData%MicrosoftNetworkDsqfuncsmime3.dll
  • %ProgramData%MicrosoftNetworkDsqfuncsoftokn3.dll
  • %ProgramData%MicrosoftNetworkDsqfuncsqlite3.dll
  • %ProgramData%MicrosoftNetworkDsqfuncssl3.dll
  • %ProgramData%MicrosoftNetworkDsqfuncvlc.exe
  • %ProgramData%MicrosoftNetworkDsqfuncwork.dll
  • %ProgramData%MicrosoftNetworkDsqnetworkca.crt
  • %ProgramData%MicrosoftNetworkDsqnetworkca.key
  • %ProgramData%MicrosoftNetworkDsqnetworkdefault_cse.js
  • %ProgramData%MicrosoftNetworkDsqnetworkgeneral.js
  • %ProgramData%MicrosoftNetworkDsqnetworksysnetwk.exe
  • %ProgramData%Windows Securitywinsecurity.exe

A következő bejegyzést teszi a registery-ben:

HKEY_LOCAL_MACHINESOFTWAREClientsMailChannelId = “egg19” 

A trójai a [http://]85.195.78.241/36/dsq64_30[REMOVED] címről tölti le a további fertőzés céljából szükséges rosszindulatú fájlokat.


Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »