A Consmiper trójai


2014. október 3. 06:36

CH azonosító

CH-11681

Angol cím

Consmiper trojan

Felfedezés dátuma

2014.09.30.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Consmiper trójai  több tucatnyi változtatást végez, és különösen a Windows regisztrációs adatbázisát forgatja fel. 

Leírás

A fertőzése során megannyi új bejegyzést hoz létre vagy változtat meg, amelyek manuális eltávolítása sok időt vehet igénybe. Ráadásul a károkozó számos fájlt is felmásol a rendszerekre, miközben egy Consumer Input nevű alkalmazásnak adja ki magát. Két Windows-os szolgáltatás létrehozásával, valamint ütemezett feladatok beállításával gondoskodik arról, hogy a feladatait zökkenőmentesen tudja elvégezni.

A Consumer végső célja nem más, mint az adatlopás. A számára értékes információkat elsősorban egy Internet Explorer, illetve egy Firefox bővítmény segítségével gyűjti össze. Így például megszerzi a böngészési előzményeket, a felhasználó által megadott keresési kifejezéseket, az elmentett űrlapadatokat, a le- és feltöltésekre vonatkozó adatokat, az IP-címet, valamint a telepített alkalmazások neveit.

1. Létrehozza a következő mappákat:

  • %ProgramFiles%Consumer Input
  • %ProgramFiles%Setup Support for Consumer Input
  • %UserProfile%Application DataCompeteConsumer Input

2. A fenti könyvtárakba bemásolja a saját állományait.

3. Ütemezett feladatokat hoz létre az alábbi fájlok révén:

  • %System%TasksCIMT_S-1-5-21-3598304965-2135194631-3668321749-1001.job
  • %System%TasksConsumerInputUpdateTaskMachineCore.job
  • %System%TasksConsumerInputUpdateTaskMachineUA.job

4. A regisztrációs adatbázis következő kulcsaiba új bejegyzéseket hoz létre:

  • HKEY_LOCAL_MACHINESOFTWAREClassesAppID
  • HKEY_LOCAL_MACHINESOFTWAREGoogleChromeNativeMessagingHosts
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionApp Paths
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstaller
    UserData
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
  • HKEY_LOCAL_MACHINESOFTWAREConsumerInput
  • HKEY_USERSS-1-5-21-3598304965-2135194631-3668321749-1001SoftwareAppDataLowSoftwareCompete
  • HKEY_USERSS-1-5-21-3598304965-2135194631-3668321749-1001SoftwareMicrosoftInternet ExplorerRecoveryAdminActive
  • HKEY_USERSS-1-5-21-3598304965-2135194631-3668321749-1001SoftwareMozillaFirefoxExtensions
  • HKEY_LOCAL_MACHINESOFTWAREClassesAppID
  • HKEY_LOCAL_MACHINESOFTWAREClassesCLSID
  • HKEY_LOCAL_MACHINESOFTWAREClassesInstallerFeatures
  • HKEY_LOCAL_MACHINESOFTWAREClassesInterface
  • HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib
  • HKEY_LOCAL_MACHINESOFTWAREClasses
    ConsumerInput.OneClickProcessLauncherMachine
  • HKEY_LOCAL_MACHINESOFTWAREClassesConsumerInputUpdate.CoCreateAsync
  • HKEY_LOCAL_MACHINESOFTWAREClassesCptUrlPassthru.HttpHeaders
  • HKEY_LOCAL_MACHINESOFTWAREClassesCptUrlPassthru.HttpHeaders.1
  • HKEY_LOCAL_MACHINESOFTWAREClassesCptUrlPassthru.HttpMonitor
  • HKEY_LOCAL_MACHINESOFTWAREClassesCptUrlPassthru.HttpMonitor.1
  • HKEY_LOCAL_MACHINESOFTWAREClassesdcabho.Dca
  • HKEY_LOCAL_MACHINESOFTWAREClassesdcabho.Dca.1
  • HKEY_LOCAL_MACHINESOFTWAREClassesDcaHost.DcaHost
  • HKEY_LOCAL_MACHINESOFTWAREClassesDcaHost.DcaHost.1
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerLow RightsElevationPolicy
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstaller
    UpgradeCodes
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstallerUserData
    S-1-5-18Products
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallConsumer Input Installer
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallSetup Support for Consumer Input
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall
  • HKEY_LOCAL_MACHINESOFTWAREConsumerInputProducts
  • HKEY_LOCAL_MACHINESOFTWAREConsumerInputUpdateClients
  • HKEY_LOCAL_MACHINESOFTWAREConsumerInputUpdateClientState
  • HKEY_USERSS-1-5-21-3598304965-2135194631-3668321749-1001SoftwareAppDataLowSoftwareCompetePartnerData
  • HKEY_USERSS-1-5-21-3598304965-2135194631-3668321749-1001SoftwareAppDataLowSoftwareCompeteDCA

5. Létrehoz két Windows-os szolgáltatást az alábbi nevekkel:

  • ConsumerInput Update Service (consumerinput_update)
  • ConsumerInput Update Service (consumerinput_updatem)

Ezekhez a következő állományok tartoznak:
%ProgramFiles%Consumer InputUpdateConsumerInputUpdate.exe /svc
%ProgramFiles%Consumer InputUpdateConsumerInputUpdate.exe /medsvc

6. A regisztrációs adatbázishoz hozzáadja az alábbi kulcsokat:

  • HKEY_LOCAL_MACHINESYSTEMControlSet001servicesconsumerinput_update
  • HKEY_LOCAL_MACHINESYSTEMControlSet001servicesconsumerinput_updatem
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesconsumerinput_update
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesconsumerinput_updatem

7. Bővítményeket telepít az Internet Explorerhez és a Firefoxhoz.

8. A bővítményei segítségével adatokat gyűjt össze.

9. Az összegyűjtött adatokat feltölti egy távoli kiszolgálóra. 

Megoldás

Frissítse a víruskeresője adatbázisát

Támadás típusa

Unspecified (Nem részletezett)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-31857 – WordPress Forminator plugin sérülékenysége
CVE-2024-31077 – WordPress Forminator plugin sérülékenysége
CVE-2024-28890 – WordPress Forminator plugin sérülékenysége
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
CVE-2024-1874 – PHP sérülékenysége
CVE-2024-24576 – Rust sérülékenysége
CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége
Tovább a sérülékenységekhez »