Nivdort.Y trójai

CH azonosító

CH-11377

Angol cím

TrojanSpy:Win32/Nivdort.Y

Felfedezés dátuma

2014.06.30.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A Nivdort.Y trójai a gondoskodik a Windows beépített tűzfalát kikapcsolásáról, hogy a felhasználó ne tudta nélkül tudjon tevékenykedni. A trójai igyekszik megakadályozni a biztonsági cégek weboldalainak elérését, ezt a hosts fájl manipulálásával éri el, ezáltal az áldozatul esett számítógépekre nem lehet letölteni a biztonsági frissítéseket.

A Nivdort.Y trójai nyit egy hátsó kaput a számítógépeken. A 80-as portokon keresztül kommunikál a vezérlőszerverével, így képes a webes adatforgalomban elrejtőzni. A terjesztői a kártékony programot utasíthatják az adatok kiszivárogtatására és összegyűjtésére, ártalmas programok telepítésére, károkozó frissítésére és fájlok letöltésére.

Leírás

1.A következő állományokat hozza létre:
%windir%assemblynativeimages_v2.0.50727_32tempzape.tmpsystem.data.entity.design.dll
%windir%tempttnfwp17orzzxf.exe
%SYSTEM%ebiwquueqb.exe
%SYSTEM%snkunmyqngv.exe
%SYSTEM%kvuqcdeqxcfg
%SYSTEM%kvuqcdeqxetc
%SYSTEM%kvuqcdeqxrng
%SYSTEM%kvuqcdeqxrun
%SYSTEM%kvuqcdeqxtst
c:documents and settingsadministratorlocal settingstempttnfwp16zbbzxfmaitarb.exe
2.A Windows hosts állományát manipulálja.
3.Végrehajt webes átirányításokat.
4.A biztonsági cégek weboldalait elérhetetlenné teszi a fertőzött számítógépről.
5.Kikapcsolja a Windows tűzfalának értesítéseit a regisztrációs adatbázis módosításával:
HKLMSOFTWAREMicrosoftSecurity CenterFirewallDisableNotify=”1″
6.A 80-as TCP porton keresztül csatlakozik egy előre meghatározott távoli kiszolgálóhoz.
7.A terjesztői által kiadott parancsokat fogadja és végrehajtja.

Megoldás

Windows 8 és 10 esetén a Windows Defender, Windows 7 és Vista esetén a Microsoft Security Essentials vagy a Microsoft  Safety Scanner segítséget nyújthat a fertőzés detektálásában és eltávolíthatásában.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »