Chikdos.A Trójai


2014. január 3. 14:06

CH azonosító

CH-10281

Angol cím

Trojan.Chikdos.A

Felfedezés dátuma

2013.12.15.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Vista, Windows XP

Összefoglaló

A Chikdos.A trójai működése során, kiszolgáltatottá teszi a a fertőzött rendszert a támadók számára.

Leírás

Ez a trójai annak érdekében, hogy zavartalanul futhasson egy Windows szolgáltatást hoz létre, így újraindítást követően is automatikusan indul. Működése során egy hátsó ajtót létesít a biztonsági rendszeren, ezen keresztül tudja fogadni a támadó szerverről érkező utasításokat, így gyakran elosztott szolgáltatás megtagadásos támadásra használják a sérült rendszert.

Technikai részletek:

1. Létrehozza a következő állományokat:
%ProgramFiles%DbProtectSupportfake.cfg
%ProgramFiles%DbProtectSupportsvchost.exe

2. Létrehoz egy Windows-os szolgáltatást “LocalSystem” néven.

3. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINEsystemCurrentControlSetServices
DbProtectSupportSecurity”Security” = “[HEXADECIMAL VALUE]”
HKEY_LOCAL_MACHINEsystemCurrentControlSetServices
DbProtectSupport”Type” = “dword:00000010”
HKEY_LOCAL_MACHINEsystemCurrentControlSetServices
DbProtectSupport”Start” = “dword:00000002”
HKEY_LOCAL_MACHINEsystemCurrentControlSetServices
DbProtectSupport”ObjectName” = “LocalSystem”
HKEY_LOCAL_MACHINEsystemCurrentControlSetServices
DbProtectSupport”ImagePath” = “expand:”%PROGRAMfILES%DbProtectSupportsvchost.exe”
HKEY_LOCAL_MACHINEsystemCurrentControlSetServices
DbProtectSupport”ErrorControl” = “dword:00000001”
HKEY_LOCAL_MACHINEsystemCurrentControlSetEnumRoot
LEGACY_DBPROTECTSUPPORT000″Service” = “DbProtectSupport”
HKEY_LOCAL_MACHINEsystemCurrentControlSetEnumRoot
LEGACY_DBPROTECTSUPPORT000″Legacy” = “dword:00000001”
HKEY_LOCAL_MACHINEsystemCurrentControlSetEnumRoot
LEGACY_DBPROTECTSUPPORT000″DeviceDesc” = “DbProtectSupport”
HKEY_LOCAL_MACHINEsystemCurrentControlSetEnumRoot
LEGACY_DBPROTECTSUPPORT000″ConfigFlags” = “dword:00000000”
HKEY_LOCAL_MACHINEsystemCurrentControlSetEnumRoot
LEGACY_DBPROTECTSUPPORT000″ClassGUID” = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
HKEY_LOCAL_MACHINEsystemCurrentControlSetEnumRoot
LEGACY_DBPROTECTSUPPORT000″Class” = “LegacyDriver”
HKEY_LOCAL_MACHINEsystemCurrentControlSetEnumRoot
LEGACY_DBPROTECTSUPPORT”NextInstance” = “dword:00000001”

4. Csatlakozik a “cn0803.aiwooolsf.com” távoli kiszolgálóhoz az 59870-es TCP porton keresztül.

5. Feltölti a szerverre a processzorral, valamint a hálózattal összefüggő információkat.

6. Elosztott szolgáltatásmegtagadási támadásokban vállalhat szerepet.

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »