Poslusy.A


2014. december 18. 10:26

CH azonosító

CH-11878

Angol cím

Poslusy.A

Felfedezés dátuma

2014.12.17.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Poslusy.A trójai az Internet Explorer folyamata mögött lapul, miközben a háttérben folyamatosan kémleli a leggyakoribb Windows-os rendszerfolyamatokat, illetve a különféle alkalmazásokhoz, például a webböngészőkhöz tartozó folyamatokat. Az e folyamatokhoz tartozó memóriabeli adatokat lementi, és az ilyen módon képző dump fájlokat elemzi. Ennek során hitelkártyaszámokat próbál felkutatni, illetve összegyűjteni. Amennyiben ez sikerül számára, akkor a bizalmas adatokat kiszivárogtatja a terjesztői számára.

Leírás

A Poslusy.A többnyire VeriFone32 néven jelenik meg a rendszereken, de amint megfertőz egy számítógépet, akkor a távoli vezérlőszerveréről további állományokat szerez be. 

A kártékony program elsősorban a POS terminálokra jelent veszélyt.

1. Létrehozza a következő állományokat:
[a kémprogram elérési útvonala]mbambservice.exe
[a kémprogram elérési útvonala]ibcurl.dll
[a kémprogram elérési útvonala]zlib1.dll
%Application Data%VeriFone32libcurl.dll
%Application Data%VeriFone32mbambservice.exe
%Application Data%VeriFone32zlib1.dll

2. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.

3. Létrehozza az alábbi mappát:
%Application Data%VeriFone32

4. A fenti könyvtárba bemásol egy verifone32.exe nevű fájlt.

5. Elindít vagy megfertőz egy iexplore.exe folyamatot.

6. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunVeriFone32 = “%Application Data%VeriFone32verifone32.exe”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesAssociations
Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0 = “.exe;.bat;.reg;.vbs;”
HKEY_CURRENT_USERSoftwareVerifone32
HKEY_CURRENT_USERSoftwareVerifone32Digitb00 = “{GUID}”

7. Csatlakozik előre meghatározott távoli webszerverekhez.

8. Letörli azt a fájlt, amellyel eredetileg felkerült a rendszerre. 

9. Folyamatosan kémleli a következő folyamatokat, és memória dumpokat készít.
wmiprvse.exe
LogonUI.exe
svchost.exe
iexplore.exe
explorer.exe
System
smss.exe
csrss.exe
winlogon.exe
lsass.exe
spoolsv.exe
alg.exe
wuauclt.exe
firefox.exe
chrome.exe
devenv.exe

10. A memória dumpokban hitelkártyaszámokat keres.

11. A megszerzett adatokat kiszivárogtatja.

Megoldás

Vírusirtó segítségével távolítsa el a fertőzést.

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.isbk.hu

Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »