Worm:Win32/Vobfus.VY


2013. december 11. 09:08

CH azonosító

CH-10146

Angol cím

Worm:Win32/Vobfus.VY

Felfedezés dátuma

2013.12.10.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

Worm:Win32/Vobfus.VY a Win32/Vobfus családjába tartozó féreg ami cserélhető illetve hálózati meghajtókon terjeszkedik, képes letölteni és futtattni tetszőleges fájlokat.

Leírás

Létrehozza a következő állományokat:

  •     c:documents and settingsadministratorpasswords.exe
  •     c:documents and settingsadministratorporn.exe
  •     c:documents and settingsadministratorsecret.exe
  •     c:documents and settingsadministratorsexy.exe
  •     c:documents and settingsadministratorwuaobah.exe
  •     c:documents and settingsadministratorcpasswords.exe
  •     c:documents and settingsadministratorcporn.exe
  •     c:documents and settingsadministratorcsecret.exe
  •     c:documents and settingsadministratorcsexy.exe
  •     c:documents and settingsadministratorrcx10.tmp
  •     c:documents and settingsadministratorrcx11.tmp
  •     c:documents and settingsadministratorrcx12.tmp
  •     c:documents and settingsadministratorrcx13.tmp
  •     c:documents and settingsadministratorrcx14.tmp
  •     c:documents and settingsadministratorrcx15.tmp
  •     c:documents and settingsadministratorrcx16.tmp
  •     c:documents and settingsadministratorrcx17.tmp
  •     c:documents and settingsadministratorrcx18.tmp
  •     c:documents and settingsadministratorrcx19.tmp
  •     c:documents and settingsadministratorrcx1a.tmp
  •     c:documents and settingsadministratorrcx1b.tmp
  •     c:documents and settingsadministratorrcx1c.tmp
  •     c:documents and settingsadministratorrcx1d.tmp
  •     c:documents and settingsadministratorrcx1e.tmp
  •     c:documents and settingsadministratorrcx1f.tmp
  •     c:documents and settingsadministratorrcx20.tmp
  •     c:documents and settingsadministratorrcx21.tmp
  •     c:documents and settingsadministratorrcx22.tmp
  •     c:documents and settingsadministratorrcx23.tmp

Cserélhető, illetve hálózati meghajtókra másol fájlokat az alábbiak szerint:

  • <targeted drive>:passwords.exe
  • <targeted drive>:porn.exe
  • <targeted drive>:secret.exe
  • <targeted drive>:sexy.exe
  • <targeted drive>:subst.exe
  • <targeted drive>:wuaobah.exe

A fertőzött meghajtók gyökérkönytárában létrehoz egy autorun.inf fájlt, ami lehetővé teszi, hogy csatlakozáskor felhasználói beavatkozás nélkül tudjon elindulni.

Csatlakozik ns1.dateback1.com szerverhez a 7001 porton keresztül:

  • Jelentést tesz az új fertőzésről
  • Konfigurációs és egyéb adatok tölt le
  • További kártékony szoftvert tölt le
  • További utasításokat vár egy távoli személytől
  • Adatokat tölt fel a számítógépről

 

 

Megoldás

Ismeretlen

Megoldás

Naprakész vírusító telepítése.

Támadás típusa

Other (Egyéb)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)

Hivatkozások

Gyártói referencia: www.microsoft.com

Legfrissebb sérülékenységek
WinZip Mark-of-the-Web kezelési sérülékenysége – WinZip Mark-of-the-Web kezelési sérülékenysége
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-10224 – Linux ScanDeps sérülékenysége
CVE-2024-11003 – Linux needrestart sérülékenysége
CVE-2024-48992 – Linux needrestart sérülékenysége
CVE-2024-48991 – Linux needrestart sérülékenysége
CVE-2024-48990 – Linux needrestart sérülékenysége
Tovább a sérülékenységekhez »