Kegotip trójai


2015. február 27. 10:40

CH azonosító

CH-12032

Angol cím

Kegotip trojan

Felfedezés dátuma

2015.02.26.

Súlyosság

Alacsony

Érintett rendszerek

Windows

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Kegotip trójai véletlenszerű fájlnevekkel ellátott állományok kíséretében kerülhet fel a számítógépekre. Amikor ez megtörténik, akkor módosítja a regisztrációs adatbázist, és rögtön nekilát az adatgyűjtéshez.

A Kegotip gyakran használt alkalmazások által tárolt adatokat próbál ellopni. Elsősorban FTP-szerverekhez tartozó hozzáférési adatokat (felhasználóneveket, jelszavakat) igyekszik összegyűjteni, de olyan jól ismert alkalmazásokat is átvizsgál, mint amilyen például a FileZilla vagy a Total Commander, illetve tevékenységével e-mail címeket is képes megszerezni.

A trójai az általa összegyűjtött adatokat egy előre meghatározott távoli kiszolgálóra tölti fel.

Leírás

1. Létrehozza a következő állományokat:

  • %Temp%MSWQ[véletlenszerű karakterek].tmp
  • %UserProfile%dotrudtegibd.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:

  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParameters FirewallPolicyStandardProfileAuthorizedApplicationsList”C:WINDOWSsystem32″ svchost.exe” = “%System%svchost.exe:*:Enabled:Microsoft Office”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion”VendorId” = “[…]”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”dotrudtegibd” = “%UserProfile%dotrudtegibd.exe”
  • HKEY_CURRENT_USERSoftwareStqbckeeiwwaw

3. Felhasználóneveket és jelszavakat gyűjt össze az alábbi alkalmazásokból:

  • SecureFX
  • FTP Rush
  • UltraFXP
  • ALFTP
  • FTP Commander
  • FTP Navigator
  • TurboFTP
  • SmartFTP
  • WS_FTP
  • FileZilla
  • Far Manager
  • Total Commander
  • GlobalSCAPE Software

4. E-mail címeket kutat fel a fertőzött rendszeren.

5. Az összegyűjtött információkat kiszivárogtatja a terjesztői számára.

Megoldás

  • Teljes rendszervizsgálat egy naprakész adatbázisú vírusírtóval.
  • Egyéb eszközök az eltávolításhoz:
  1. Norton Power Eraser Tool  (A program agresszív technikákat alkalmaz, így érdemes átnézni a törlésre kiválasztott programok listáját, nehogy egy tiszta programot távolítson el.) https://security.symantec.com/nbrt/npe.aspx?lcid=1033
  2. Symantec Power Eraser (SymHelp)  http://www.symantec.com/techsupp/home_homeoffice/products/sep/SymHelp.exe

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-20236 – Cisco Webex App sebezhetősége
CVE-2017-5754 – Linux Kernel sebezhetősége
CVE-2014-0160 – OpenSSL Information Disclosure sebezhetősége
CVE-2025-23010 – SonicWall NetExtender Improper Link Resolution Before File Access ('Link Following') sebezhetősége
CVE-2025-23009 – SonicWall NetExtender Local Privilege Escalation sebezhetősége
CVE-2025-23008 – SonicWall NetExtender Improper Privilege Management sebezhetősége
CVE-2024-0132 – NVIDIA Container Toolkit sérülékenysége
CVE-2025-3102 – SureTriggers sérülékenysége
CVE-2025-24859 – Apache Roller sebezhetősége
Tovább a sérülékenységekhez »