Potao trójai

CH azonosító

CH-12517

Angol cím

Trojan.Potao

Felfedezés dátuma

2015.08.09.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Potao trójai alapvetően két részből épül fel. Egy alapmodulból, amely csak alapszintű funkcionalitást biztosít, viszont képes hozzájárulni a trójai képességeinek kiterjesztéséhez. A károkozó másik összetevőjét pedig egy moduláris alrendszer alkotja, ami tetszés szerint bővíthető különféle kiegészítőkkel. A bővítményeket az alapmodul tölti le távoli vezérlőszerverekről, így a terjesztői olyan szolgáltatásokkal vértezhetik fel a kártevőt, amire éppen szükségük van.

A Potao alapmodulja nemcsak arra képes, hogy bővítményeket szerezzen be, hanem arra is, hogy hátsó kaput nyisson a rendszeren. Ez esetben is azokhoz a kiszolgálókhoz kapcsolódik, amelyekről a kiegészítőit tudja letölteni.

Leírás

1. Létrehozza a következő állományokat:
%UserProfile%Application DataMicrosoft[véletlenszerű karakterek].dll
%UserProfile%Local SettingsTemp[véletlenszerű karakterek].tmp

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[véletlenszerű karakterek]”=”rundll32.exe %UserProfile%Application DataMicrosoft[véletlenszerű karakterek].dll”

3. Létrehoz egy Microsoft Word ikonnal ellátott parancsikont.

4. Megnyit egy ártalmatlan Word dokumentumot.

5. Kapcsolódik távoli kiszolgálókhoz.

6. Nyit egy hátsó kaput.

7. Különféle kártékony modulokat tölt le.

Megoldás

  • Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
  • Használja a Windows Defender-t Windows 8.1 rendszeren, vagy a Microsoft Security Essentials  windows 7-en és Windows Vistán.

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »