Filurkes.B trójai

2015. február 3. 10:55

CH azonosító

CH-11980

Angol cím

Filurkes.B Trojan

Felfedezés dátuma

2015.02.02.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows

Összefoglaló

A Filurkes.B trójai kifejezetten azzal a céllal terjed, hogy további nemkívánatos programok terjesztésében vegyen részt. Ennek megfelelően leginkább a vírusterjesztők munkáját tudja megkönnyíteni, akik távolról meghatározhatják, hogy éppen milyen fájlt kell beszereznie a trójainak. A károkozó egy vezérlőszerverhez kapcsolódik, és onnan tölti le a számára szükséges információkat, illetve állományokat.

Leírás

A Filurkes.B nem végez sok műveletet a számítógépeken, mindössze két állományt hoz létre, majd a regisztrációs adatbázist módosítja. Ennél fogva a károkozó manuális eltávolítása sem időigényes feladat. A kihívást sokkal inkább a trójai felismerése jelenti, amiben a naprakészen tartott víruskeresők tudnak sokat segíteni.

1. Az alábbi könyvtárba létrehoz egy .dll, valamint egy .dat kiterjesztésű állományt:
%SystemDrive%Documents and SettingsAll UsersApplication Data

A fájlneveket egy előre meghatározott listából választja ki.

2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_CURRENT_USERSoftwareClassesCLSID{118BEDCC-A901-4203-B4F2-ADCB957D1887}”InProcServer32″ = “[a trójai elérési útvonala]”
HKEY_CURRENT_USERSoftwareClassesDriveShellExFolderExtensions{118BEDCC-A901-4203-B4F2-ADCB957D1887}”DriveMask” = “0xffffffff”
HKEY_CURRENT_USERSoftwareClassesCLSID{118BEDCC-A901-4203-B4F2-ADCB957D1887}InProcServer32″ThreadingModel” = “Apartment”

3. Kapcsolódik egy távoli kiszolgálóhoz.

4. További kártékony programokat juttat fel a számítógépre.

Megoldás

Teljes rendszervizsgálat egy naprakész adatbázisú vírusírtóval.

Egyéb eszközök az eltávolításhoz:

Norton Power Eraser Tool (A program agresszív technikákat alkalmaz, így érdemes átnézni a törlésre kiválasztott programok listáját, nehogy egy tiszta programot távolítson el.) https://security.symantec.com/nbrt/npe.aspx?lcid=1033
Symantec Power Eraser (SymHelp) http://www.symantec.com/techsupp/home_homeoffice/products/sep/SymHelp.exe

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek

CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége

CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége

CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége

CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége

CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége

CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége

CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége

CVE-2024-11639 – Ivanti CSA sérülékenysége

CVE-2024-42449 – Veeam Service Provider Console sérülékenysége

CVE-2024-42448 – Veeam Service Provider Console sérülékenysége

Tovább a sérülékenységekhez »

Filurkes.B trójai