Drover trójai

CH azonosító

CH-13106

Angol cím

Drover trojan

Felfedezés dátuma

2016.03.14.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Drover trójai speciálisan összeállított, RTF-formátumú fájlok révén terjed. Amikor a felhasználó megnyit egy ilyen állományt, akkor lefut egy exploit, és a nem naprakészen tartott rendszereken elindul a fertőzési folyamat. Ennek során egy Mdropper nevű trójai letölti a Drover alapkódját, ami aztán további állományokat juttat fel a PC-re. A többlépcsős fertőzés végén egy olyan károkozó kerül fel a rendszerre, amely adatlopást segíthet elő.

Leírás

A Drover alapvetően a billentyűleütések folyamatos naplózásából szerzi be az értékes információkat. Emellett azonban rendszeres időközönként képernyőképeket is lement. Az összegyűjtött adatokat pedig interneten keresztül továbbítja a terjesztői számára.

Technikai részletek:

1. A regisztrációs adatbázishoz hozzáadja a következő bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”System Application” = %SystemDrive%systemWindowsSecurityService2.exe

2. Kapcsolódik egy távoli kiszolgálóhoz.

3. Nyit egy hátsó kaput.

4. További állományokat tölt le, amiket az alábbiak szerint ment le:
%SystemDrive%systemcxcore210.dll
%SystemDrive%systemhighgui210.dll
%SystemDrive%systemlibsndfile-1.dll
%SystemDrive%systemopenal32.dll
%SystemDrive%systemWindowsSecurityService2.exe

5. Képernyőképeket készít.

6. Naplózza a billentyűleütéseket.

7. Az összegyűjtött adatokat feltölti egy kiszolgálóra.

8. Frissíti a saját kódját.

Megoldás

  • Használjon naprakész vírusírtót!
  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket)!
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Run Norton Power Eraser (NPE)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com


Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »