Trojan:MSIL/Bepush


2014. február 14. 15:41

CH azonosító

CH-10555

Angol cím

Trojan:MSIL/Bepush

Felfedezés dátuma

2014.02.05.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A trójaik ezen családja képes letölteni, és telepíteni Chrome és Firefox beélpülő modulokat. Ezek a modulok átirányítják a böngészőt más oldalakra.

A trójai programok ezt a plugint használva próbálnak terjedni közösségi média oldalakon keresztül, mint a Facebook, Twitter, VKonkrate Youtube és Google+ azzal, hogy linkeket és vieókat osztanak meg.

Leírás

A trójai megpróbál hozzáférni a felhasználó adatlapjához a következő oldalakon:

  • Google+
  • Facebook
  • Twitter
  • VK (VKontakte)
  • YouTube

Ha van hozzáférése, linkeket helyez el az adatlapokon, ami arra ösztönzi a barátokat, vagy követőket, hogy tekintsenek meg a videót. Általában az üzenetek a felhasználó nyelvén jelennek meg.

Amikor valaki megnyitja a videót, egy ablak figyelmeztet, hogy frissíteni kell a Flash Playert. A link egy trójai programra mutat (TrojanDropper:MSIL/Bepush.A.), ami települ a számítógépre, és megfertőzi a felhasználó saját profiját.

A beépülő modul megváltoztatja a böngésző beállításait, így amikor egy új ablakot nyit a felhasználó a Chrome vagy Firefox böngészőjében, át lesz irányítva a www.fileshareservices.net/start.html oldalra.

Léteznek olyan variánsok a MSIL/Bepush családban, amelyek megpróbálnak hamis Flash Playert letölteni a következő oldalak valamelyikéről:

  • http://www.fileshareservices.org/extFiles/buflash.xpi
  • http://www.fileshareservices.org/extFiles/bune10.zip
  • http://www.fileshareservices.org/extFiles/list.txt
  • http://www.fileshareservices.org/extFiles/NewFile000305.exe
  • http://www.fileshareservices.org/extFiles/yok.txt
  • http://www.fileshareservices.org/extFiles/control305.txt

A %ProgramData% mappában a következő állományokat helyezi el, de ez változhat:

  • FLVUpdate.exe
  • SExtensionFlash_Plugin.exe
  • SExtensionIonic.Zip.dll
  • SExtensionlog_635271254169910234.txt
  • SExtensionSExtensionbuflash.xpi
  • SExtensionSExtensionbune10.zip
  • SExtensionSystem.Data.SQLite.dll
  • SExtensionUpdater.exe
  • YokExe.exe

Megoldás

Naprakész vírusírtó telepítése.

Támadás típusa

Other (Egyéb)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)

Hivatkozások

Gyártói referencia: www.microsoft.com
Gyártói referencia: www.microsoft.com

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »