Pawxnic.A trójai

CH azonosító

CH-13070

Angol cím

TrojanDropper: Win32/Pawxnic.A

Felfedezés dátuma

2016.02.25.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 10, Windows 8.1, Windows 7

Összefoglaló

A Pawxnic.A trójai több kockázatot is felvet, amelyek közül kiemelkedik a vírusterjesztés lehetősége. A károkozó ugyanis képes interneten keresztül további ártalmas programokat beszerezni, illetve feltelepíteni. Emellett pedig egy hátsó kaput létesít, és szó nélkül hajtja végre a támadók távolról kiadott parancsait. A károkozó feladatlistája még ezzel sem ér véget, ugyanis esetenként adatlopást is elősegíthet.

A Pawxnic.A az Internet Explorer egyes mappáiba másolja be a legtöbb nemkívánatos állományát. A működéséhez szükséges legfontosabb állományt azonban az átmeneti fájlok tárolására szolgáló könyvtárba helyezi el lebel_ems2.exe néven.

Leírás

1. Létrehozza a következő állományokat:

  • %APPDATA%microsoftinternet explorerquick launchlaunch internet explorer browser.lnk
  • %LOCALAPPDATA%microsoftinternet explorerrecoveryhighactive{a4b2a877-c516-11e5-9c1d-00155d001000}.dat
  • %LOCALAPPDATA%microsoftinternet explorerrecoveryhighactiverecoverystore.{a4b2a876-c516-11e5-9c1d-00155d001000}.dat
  • %TEMP%lebel_ems2.exe

2. Különböző folyamatokat fertőz meg.

3. Kártékony programokat tölt le, amelyeket fel is telepít.

4. Csatlakozik egy vezérlőszerverhez, és nyit egy hátsó kaput.

5. Jelenti a fertőzés megtörténtét a terjesztői számára.

6. A szerverről beszerzett konfigurációs állományok alapján további műveleteket hajt végre.

7. Esetenként szerepet vállal adatszivárogtatásban.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket).
  • Használjon offline biztonsági mentést.
  • Az eltávolításban segítséget nyújthat: Windows Defender,  Microsoft Security Essentials

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »