Ainslot.P

CH azonosító

CH-11782

Angol cím

Ainslot.P

Felfedezés dátuma

2014.11.05.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

Az Ainslot.P féreg egy rendszerfrissítésre alkalmas programnak álcázza saját magát.

Leírás

Az Ainslot.P féreg egy rendszerfrissítésre alkalmas programnak álcázza saját magát. Amikor azonban ezt a felhasználó elindítja, akkor rögtön megfertőződhet a számítógépe. A kártékony program elsősorban egy hátsó kapu létesítésével okozhat károkat, amelyen keresztül egyrészt fogadja a támadók parancsait, másrészt adatokat szivárogtat ki.

Az Ainslot.P elsősorban cserélhető adathordozókon (például pendrive-okon) keresztül terjed, de esetenként hálózati megosztásokon is felütheti a fejét. A fertőzött számítógépeken azonban nem minden esetben kézenfekvő a kimutatása, ugyanis a károkozó a Jegyzettömb folyamata mögé rejtőzik el.

Az Ainslot.P arról is gondoskodik, hogy a Windows Biztonsági Központ ne jelezze azt, ha a számítógépre telepített víruskereső leáll, vagy nem indul el.

Technikai részletek:

1. Létrehozza a következő állományt:
%System%sys32systemupdate.exe

2. A regisztrációs adatbázisban módosítja az alábbi értéket:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit=”c:windowssystem32userinit.exe,c:windowssystem32sys32systemupdate.exe”

3. Megfertőzi a notepad.exe folyamatot.

4. A regisztrációs adatbázisban manipulálja a következő bejegyzést:
HKLMSOFTWAREMicrosoftSecurity CenterAntiVirusDisableNotify=”1″

5. Kapcsolódik egy távoli kiszolgálóhoz a 1604-es TCP porton keresztül.

6. Jelenti a fertőzés megtörténtét a terjesztőinek.

7. Nyit egy hátsó kaput, és fogadja a támadók parancsait, amiket rögtön végre is hajt.

8. További ártalmas fájlokat tölt le.

9. Szerepet vállal adatszivárogtatásban.

10. Megpróbál további számítógépekre felkerülni.

Megoldás

Frissítse a vírusirtó programot!


Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »