Destfallen


2014. december 16. 08:00

CH azonosító

CH-11870

Angol cím

Destfallen

Felfedezés dátuma

2014.12.14.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Destfallen trójai – megfelelő biztonsági mentések hiányában – helyreállíthatatlan károkat okozhat a fertőzött rendszereken. Ennek oka, hogy ha a rendszerdátum 2014. december 10. utánra mutat, akkor nekilát gyakran használt fájlok felülírásának. Vagyis az állományokat nem hagyományos törléssel kompromittálja, ami a helyreállítást nagyon megnehezítheti, vagy akár lehetetlenné teheti. A trójai futtatható fájlokat, dokumentumokat (.doc, .pdf) és tömörített állományokat is használhatatlanná tesz.

Leírás

A trójai egy megtévesztő névvel ellátott Windows-os szolgáltatást hoz létre, és annak felhasználásával, a háttérben végzi el a károkozásait. Eközben pedig az MBR-t (Master Boot Record) is manipulálja, ami az operációs rendszer betöltését is kedvezőtlenül érintheti.

1. Létrehozza a következő állományokat:
%Temp%XmlLite.dll
%Temp%wsss.dll

2. Létrehoz egy másolatot a WordPad-ból:
%Temp%Wordpad.exe

3. A Windows rendszerkönyvtárába bemásolja az alábbi fájlokat:
%System%bddsvc.dll
%System%iconsvc.dll
%System%ehressvc.dll
%System%netstsvc.dll
%System%pnas.dll
%System%pnrpmchname.dll
%System%pwpsvc.dll
%System%pcssvc.dll
%System%rregconf.dll
%System%scardmngsvc.dll
%System%tcpmsvc.dll
%System%tschmng.dll
%System%mmthread.dll
%System%wcmngsvc.dll
%System%coladj.dll
%System%wndmodmng.dll
%System%timesyncsvc.dll
%System%wiredconfsvc.dll
%System%wlanconf.dll
%System%wstmng.dll

4. Létrehoz egy Windows-os szolgáltatást, amelynek nevét az alábbi listából választja ki:
BitLocker Drive Decryption Service
Internet Connection Service
Media Center Service
Network Storage Service
Peer Networking Address
PNRP Machine Name
Power Policy
Program Compatibility Service
Remote Registry Configuration
Smart Card Management Service
Tablet PC Management Service
Task Schedule Manager
Thread Ordering Service
WebClient Manage Service
Windows Color Adjustment
Windows Modules Management
Windows Time Synchronization
Wired Config Service
WLAN Config Service
Workstation management

5. Felmásolja a rendszerre a következő fájlokat:
%Temp%Wordpad.exe
%Temp%XmlLite.dll
%Temp%wsss.dll

6. Amennyiben a rendszerdátum 2014. december 10. utáni napot mutat, akkor felülírja az alábbi kiterjesztésekkel rendelkező állományokat a helyi és a cserélhető adattárolókon is:
.hwp
.doc
.pdf
.docx
.alz
.zip
.rar
.egg
.iso
.exe
.dll
.sys

7. Manipulálja az MBR-t (Master Boot Record) 

8. A számítógép újraindítása után megjelenít egy ablakot a következő üzenettel:
“Who am I?”

Megoldás

Vírusirtó segítségével távolítsa el a fertőzést.

Támadás típusa

Manipulation of data

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.isbk.hu

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »