Backdoor: BKDR_PERCS.A

CH azonosító

CH-11547

Angol cím

BKDR_PERCS.A

Felfedezés dátuma

2014.08.13.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

Összefoglaló

Ez a malware összefügg egy támadással, amely a Google Drive and Dropbox óvatlan felhasználói után kutatott.

A kártékony szoftver egy hátsó kaput nyit, így információkat küld a támadónak a fertőzött számítógépről.

Leírás

A backdoor egy kártékony kódot futtató weboldalról a felhasználó tudta nélkül töltődik le.

A program bemásolja magát a következő helyre: %Application Data%scvperc.exe

Létrehozza a következő regisztrációs bejegyzést annak érdekében, hogy automatikusan indulhasson a bejelentkezést követően:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun scvperc = “%Application Data%scvperc.exe”

A program a következő feladatokat képes elvégezni:

  • Letölt és futtat tetszőleges állományt a %User Temp% helyen.
  • Távoli parancssort biztosít
  • Meghajtó információkat szerez

Kapcsolódik a következő weboldalakhoz annak érdekében, hogy fogadjon és küldjön információkat: BLOCKED}i.{BLOCKED}2.com:32040

Bemásolja a következő fájlt, ami a felhasználó billentyűzet leütéseit figyeli: %Application Data%Logs{date-month-year} – encrypted

A szoftver megpróbálja ellopni a tárolt e-mail hitelesítő adatokat az alábbi szoftverektől:

  • Windows Live
  • Mozilla Thunderbird
  • Outlook

Megpróbálja a tárolt adatokat ellopni, mint pl. felhasználónevek, jelszavak, és számítógépnevek az alábbi böngészőkből:

  • Mozilla Firefox
  • Opera
  • Internet Explorer
  • Google Chrome
  • Chromium

Ezen felül naplózza a felhasználó billentyűzet leütéseit hogy további információt lopjon.

Megoldás

Víruskereső frissítése.


Legfrissebb sérülékenységek
CVE-2024-20358 – Cisco ASA és FTD sérülékenysége
CVE-2024-20359 – Cisco ASA és FTD sérülékenysége
CVE-2024-20353 – Cisco ASA és FTD sérülékenysége
CVE-2024-31857 – WordPress Forminator plugin sérülékenysége
CVE-2024-31077 – WordPress Forminator plugin sérülékenysége
CVE-2024-28890 – WordPress Forminator plugin sérülékenysége
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
Tovább a sérülékenységekhez »