Proslikefan.B trójai

CH azonosító

CH-11803

Angol cím

JS.Proslikefan.B

Felfedezés dátuma

2014.11.12.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A Proslikefan.B féreg kártékony weboldalakon keresztül terjed. Ahhoz, hogy a különféle nemkívánatos állományai felkerülhessenek a célkeresztbe állított rendszerekre, néhány JavaScriptet vet be. Mivel a készítői egy időalapú mechanizmussal is ellátták, ezért interneten keresztül lekérdezi a pontos időt, és ha 2014. január 1. utáni időszakot észlel, akkor aktivizálódik. Amennyiben minden feltétel adott a működéséhez, akkor feltérképezi a cserélhető meghajtókat és az operációs rendszer legfontosabb paramétereit. 

Leírás

A Proslikefan.B nem okoz kárt virtuális gépeken, ugyanis az ilyen környezetek észlelésekor azonnal leállítja a saját folyamatait. Többek között ezzel próbálja megnehezíteni az elemzését. A jelenlétét különféle rendszerbeállítások módosításával és megtévesztő parancsikonok létrehozásával igyekszik leplezni.

1. Létrehozza a következő állományokat:
%meghajtó betűjele%:.Trashes[véletlenszerű karakterek][véletlenszerű karakterek].js
%UserProfile%Local SettingsTemp[véletlenszerű karakterek].js
%UserProfile%[véletlenszerű karakterek].js
%UserProfile%AppDataRoaming[véletlenszerű karakterek].js

2. Minden cserélhető adathordozón létrehoz egy .Trashes[véletlenszerű karakterek] mappát.

3. Felmásolja a rendszerre az alábbi fájlokat:
%UserProfile%[véletlenszerű fájlnév].exe
%UserProfile%AppDataRoaming[véletlenszerű fájlnév].exe

4. A regisztrációs adatbázisban módosítja a következő állományokat:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden = 1 or 2
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowSuperHidden = 0 or 1

5. Interneten keresztül lekérdezi a pontos időt.

6. Ellenőrzi, hogy a rendszerdátum 2014. január 1-nél nagyobb-e.

7. Csatlakozik a vezérlőszerveréhez.

8. Leállítja saját magát, amennyiben virtuális gépre utaló jeleket észlel.

9. Különféle folyamatokat állít le.

10. Módosít egyes fájlokhoz beállított jogosultságokon.

11. Interneten keresztül frissíti a saját állományait.

12. Rendszerinformációkat gyűjt össze.

13. Parancsikonokat hoz létre a Start menübe:
%SystemDrive%ProgramDataMicrosoftWindowsStart MenuProgramsStartupWindows Explorer.lnk
%UserProfile%Start MenuProgramsStartupWindows Explorer.lnk
%UserProfile%]AppDataRoamingMicrosoftWindowsStart MenuProgramsStartupWindows Explorer.lnk



Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »