Expilan trójai


2015. január 12. 07:57

CH azonosító

CH-11921

Angol cím

Trojan.Expilan

Felfedezés dátuma

2015.01.08.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

Az Expilan trójai önmagában “mindössze” arra képes, hogy rendszerinformációkat gyűjtsön össze a fertőzött számítógépekről. Így kiszivárogtatja a számítógépre, az operációs rendszerre és a hálózatra vonatkozó legfontosabb információkat. Azonban amikor megfertőz egy PC-t, akkor ennyivel nem ér véget a történet, ugyanis a károkozó két további nemkívánatos szerzeményt is feltelepít. Az egyik a botnetek kialakításában és adatlopásban jeleskedő Zbot, míg a másik a kártevők letöltésére alkalmas Ponik trójai.

Az Expilan jelenlegi változata egy slideshow.exe nevű állomány formájában terjed elsősorban kártékony weboldalakon vagy spamelt elektronikus üzeneteken keresztül.

Leírás

1. Létrehozza a következő állományokat:

%Temp%IXP001.TMPpictures.exe

%Temp%IXP000.TMPAdobeR1.exe

%UserProfile%MicrosoftWindowsZ0xapp8T.tmpAdbrRader.exe

%UserProfile%MicrosoftWindowsZ0xapp8T.tmpAdobeIns.exe

%UserProfile%MicrosoftWindowsZ0xapp8T.tmpGoogleUpate.exe

%UserProfile%MicrosoftWindowsZ0xapp8T.tmpGooglUpd.exe

%UserProfile%MicrosoftWindowsZ0xapp8T.tmpnvisdvr.exe

%UserProfile%MicrosoftWindowsZ0xapp8T.tmpnvidrv.exe

%UserProfile%MicrosoftWindowsZ0xapp8T.tmprundl132.exe

%UserProfile%MicrosoftWindowsZ0xapp8T.tmpsvhosts.exe

%UserProfile%Application DataMicrosoftWindowswin32.tmpvgadmysadm.tmp

%UserProfile%Application DataMicrosoftWindowswin32.tmpvgosysaext.tmp

%UserProfile%Application DataMicrosoftWindowswin32.tmpvg2sxoysinf.tmp

%UserProfile%Application DataMicrosoftWindowswin32.tmpv2cgplst.tmp

2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

“UpdAdbreader” = “%UserProfile%MicrosoftWindowsZ0xapp8T.tmpnvidrv.exe”

HKEY_CURRENT_USERSoftwareMicrosoftDirect3DMostRecentApplication

“Name” = “pictures.exe”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlMediaResources

DirectSoundMixer DefaultsDirectSoundSpeaker Configuration”Speaker Configuration” = “140004”

HKEY_LOCAL_MACHINEsoftwareMicrosoftWindowsCurrentVersionRunOnce

“wextract_cleanup0” = “rundll32.exe %System%advpack.dll,DelNodeRunDLL32 %Temp%IXP000.TMP\”””

HKEY_LOCAL_MACHINEsoftwareMicrosoftWindowsCurrentVersionRunOnce

“wextract_cleanup1” = “rundll32.exe %System%advpack.dll,DelNodeRunDLL32 %Temp%IXP001.TMP\”””

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetHardware ProfilesCurrentSystemCurrentControlSetEnumPCI

VEN_8086&DEV_2415&SUBSYS_00008086&REV_01

HKEY_CURRENT_USERDefaultKeyboardUserF124-5KK83-F2IV9-FDN293

3. Különböző fényképeket jelenít meg.

4. Feltelepíti az alábbi két kártékony programot:

Zbot

Ponik

5. Rendszer- és hálózati információkat gyűjt össze.

6. Csatlakozik egy távoli kiszolgálóhoz.

7. Az összegyűjtött adatokat kiszivárogtatja.

Megoldás

Használjon vírusvédelmi programot és tűzfalat, illetve rendszeresen frissítse azokat.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2023-38823 – Tenda AC routerek sérülékenysége
CVE-2023-43177 – CrushFTP sérülékenysége
cve-2023-36439 – Microsoft Exchange szerver sérülékenysége
CVE-2023-23368 – QNAP QTS sérülékenysége
CVE-2023-22518 – Confluence Data Center és Server sérülékenysége
CVE-2023-20273 – Cisco IOS XE Web UI jogosultság kiterjesztés sérülékenysége
CVE-2023-20198 – Cisco IOS XE Web UI sérülékenysége
CVE-2023-4966 – NetScaler ADC és NetScaler Gateway sérülékenysége
CVE-2023-20101 – Cisco Emergency Responder 12.5(1)SU4 sérülékenysége
CVE-2023-22515 – Atlassian Confluence Data Center és Server sérülékenysége
Tovább a sérülékenységekhez »