Infostealer.Ayufos


2014. március 21. 16:23

CH azonosító

CH-10773

Angol cím

Infostealer.Ayufos

Felfedezés dátuma

2014.03.20.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 2000
Windows 7
Windows 98
Windows Millenium
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Érintett verziók

Windows 98,
Windows 95,
Windows XP,
Windows Server 2008,
Windows 7,
Windows Me,
Windows Vista,
Windows NT,
Windows Server 2003,
Windows 2000

Összefoglaló

Az Ayufos trójai adatlopással okozhat károkat. Többféle módszert alkalmazhat a bizalmas információk beszerzésére, például rendszeresen képes képernyőképet készíteni, figyeli a billentyűleütéseket és a vágólap tartalmát lementi. Képes továbbá rendszerinformációt beszerezni, valamint az egyes alkalmazások által tárolt hitelesítő adatokat is megszerezheti. A terjesztői számára elektronikus levélben továbbítja a megszerzett információkat.

Számos olyan műveletet végez az Ayufos trójai, amivel a felhasználók figyelmét felhívhatja, hogy a számítógépével valami probléma van. A Vezérlőpultot elérhetetlenné teszi, valamint a károkozó rendszeresen különféle folyamatokat állít le. A Windows beépített tűzfalát kikapcsolja, hogy észlelése nehezebb legyen, valamint a hálózati kommunikációja akadálymentes legyen.

Leírás

1. Annak érdekében, hogy egyszerre csak egy példányban futhasson létrehoz egy mutexet.

2. A saját kódját felmásolja a rendszerre az alábbiak szerint:
C:Documents and SettingsAll UsersApplication Datasvchost.exe

3. Előre meghatározott távoli kiszolgálóhoz csatlakozik.

4. A következő információkat gyűjti össze:
– a Pidgin, a Filezilla, az OpenVPN és a WinRar alkalmazások által elmentett hitelesítő adatok
– IP-cím
– operációs rendszer verziója
– a Windows termékkulcsa
– területi beállítások.

5. A vágólap monitorozásával, képernyőképek készítésével, billentyűleütések naplózásával végzi az adatok kiszivárogtatását.

6. A Windows beépített tűzfalát hatástalanítja.

8. Folyamatokat állít le.

9. A Vezérlőpultot elérhetetlenné teszi.

10. A terjesztői számára elektronikus levélben továbbítja a megszerzett információkat.

Megoldás

Használjon megfelelő tűzfalat, illetve naprakész vírusírtót.

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »