Destfallen


2014. december 16. 08:00

CH azonosító

CH-11870

Angol cím

Destfallen

Felfedezés dátuma

2014.12.14.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Destfallen trójai – megfelelő biztonsági mentések hiányában – helyreállíthatatlan károkat okozhat a fertőzött rendszereken. Ennek oka, hogy ha a rendszerdátum 2014. december 10. utánra mutat, akkor nekilát gyakran használt fájlok felülírásának. Vagyis az állományokat nem hagyományos törléssel kompromittálja, ami a helyreállítást nagyon megnehezítheti, vagy akár lehetetlenné teheti. A trójai futtatható fájlokat, dokumentumokat (.doc, .pdf) és tömörített állományokat is használhatatlanná tesz.

Leírás

A trójai egy megtévesztő névvel ellátott Windows-os szolgáltatást hoz létre, és annak felhasználásával, a háttérben végzi el a károkozásait. Eközben pedig az MBR-t (Master Boot Record) is manipulálja, ami az operációs rendszer betöltését is kedvezőtlenül érintheti.

1. Létrehozza a következő állományokat:
%Temp%XmlLite.dll
%Temp%wsss.dll

2. Létrehoz egy másolatot a WordPad-ból:
%Temp%Wordpad.exe

3. A Windows rendszerkönyvtárába bemásolja az alábbi fájlokat:
%System%bddsvc.dll
%System%iconsvc.dll
%System%ehressvc.dll
%System%netstsvc.dll
%System%pnas.dll
%System%pnrpmchname.dll
%System%pwpsvc.dll
%System%pcssvc.dll
%System%rregconf.dll
%System%scardmngsvc.dll
%System%tcpmsvc.dll
%System%tschmng.dll
%System%mmthread.dll
%System%wcmngsvc.dll
%System%coladj.dll
%System%wndmodmng.dll
%System%timesyncsvc.dll
%System%wiredconfsvc.dll
%System%wlanconf.dll
%System%wstmng.dll

4. Létrehoz egy Windows-os szolgáltatást, amelynek nevét az alábbi listából választja ki:
BitLocker Drive Decryption Service
Internet Connection Service
Media Center Service
Network Storage Service
Peer Networking Address
PNRP Machine Name
Power Policy
Program Compatibility Service
Remote Registry Configuration
Smart Card Management Service
Tablet PC Management Service
Task Schedule Manager
Thread Ordering Service
WebClient Manage Service
Windows Color Adjustment
Windows Modules Management
Windows Time Synchronization
Wired Config Service
WLAN Config Service
Workstation management

5. Felmásolja a rendszerre a következő fájlokat:
%Temp%Wordpad.exe
%Temp%XmlLite.dll
%Temp%wsss.dll

6. Amennyiben a rendszerdátum 2014. december 10. utáni napot mutat, akkor felülírja az alábbi kiterjesztésekkel rendelkező állományokat a helyi és a cserélhető adattárolókon is:
.hwp
.doc
.pdf
.docx
.alz
.zip
.rar
.egg
.iso
.exe
.dll
.sys

7. Manipulálja az MBR-t (Master Boot Record) 

8. A számítógép újraindítása után megjelenít egy ablakot a következő üzenettel:
“Who am I?”

Megoldás

Vírusirtó segítségével távolítsa el a fertőzést.

Támadás típusa

Manipulation of data

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.isbk.hu

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-26466 – OpenSSH sérülékenysége
CVE-2025-26465 – OpenSSH sérülékenysége
CVE-2024-57727 – SimpleHelp Path Traversal sebezhetősége
CVE-2024-53704 – SonicOS SSLVPN Authentication Bypass sebezhetősége
CVE-2025-1094 – PostgreSQL sérülékenysége
CVE-2025-21377 – NTLM Hash Disclosure Spoofing sebezhetősége
CVE-2025-21194 – Microsoft Surface Security Feature Bypass sebezhetősége
CVE-2025-21418 – Windows Ancillary Function Driver for WinSock Elevation of Privilege sebezhetősége
CVE-2025-21391 – Windows Storage Elevation of Privilege sebezhetősége
Tovább a sérülékenységekhez »