Miras trójai


2014. szeptember 9. 07:40

CH azonosító

CH-11596

Angol cím

Backdoor:Win32/Miras.A

Felfedezés dátuma

2014.09.07.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7
Windows 8

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Miras trójai mindössze egy fájlt hoz létre az áldozatául eső számítógépeken, majd a regisztrációs adatbázis manipulálásával elindit egy “WMI service provider” nevű szolgáltatást. Ezzel biztosítja azt, hogy a Windows újraindítása után is be tudjon kerülni a memóriába.

A Miras rendszerinformációkat gyűjt össze, illetve szivárogtat ki. Így például értesíti a terjesztőit a területi beállításokról, az operációs rendszer egyéb paramétereiről és az aktív felhasználói fiókokról. Eközben egy hátsó kaput is létesít, amelyen keresztül fogadja a terjesztői által kiadott parancsokat. 

A trójai alkalmas folyamatok leállítására, valamint különböző alkalmazások futtatására is.

Leírás

1. Létrehozza a következő állományt:
%System%wbemraswmi.dll 

2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket: 
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesraswmiParameters”ServiceDll”=C:WINDOWSSystem32wbemraswmi.dll
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesraswmi”Type”= 0x00000010
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesraswmi”Start”= 0x00000002
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesraswmi”ErrorControl”=0x00000001
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesraswmi”DisplayName”= “WMI service provider”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesraswmi”Description”=”WMI service client”

3. Kiszámolja a merevlemezen lévő szabad kapacitást, és lementi az alábbi fájlba:
[véletlenszerű karakterek]lu.tmp 

4. Csatlakozik egy távoli kiszolgálóhoz.

5. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.

6. Összegyűjti az alábbi információkat:
– területi beállítások
– az operációs rendszer paraméterei
– felhasználónevek

7. Esetenként különféle folyamatokat állít le.

8. Programokat futtat.

Megoldás

Telepítsen vírusvédelmi programot és tűzfalat, illetőleg rendszeresen frissítse azokat.

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.isbk.hu
Egyéb referencia: www.microsoft.com

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »