Ramdo.A trójai

CH azonosító

CH-10390

Angol cím

Trojan:Win32/Ramdo.A

Felfedezés dátuma

2014.01.15.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7

Érintett verziók

Windows 2000
Windows 7
Windows 95
Windows 98
Windows Me
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Összefoglaló

A Ramdo.A egy olyan trójai, mellyel a támadó kattintásos csalást hajthat végre és a biztonsági szoftverek több funkcióát is letilthatja.

Leírás

A trójai a %APPDATA%version.dll fájlba helyezi magát, majd átnevezi magát <startup folder>HpM3Util.exe-re annak érdekében, hogy a Windows minden indításakor elinduljon.

Az alábbi adatokat hozza létre a regisztrációs adatbázisban:

  • HKCUSOFTWAREAdobeAdobe ARM1.0ARM = tLast_ReadedSpec
  • HKCUSOFTWAREAdobeAdobe ARM1.0ARM = tLastCollab_doc
Letilthat bizonyos biztonsági funkciókat

A káros kód beépül az összes 32-bit-es folyamatba és megkísérli leállítani az alábbi DLL fájlokat:

  • UMEngx86.dll
  • wl_hook.dll

Ezeket a fájlokat különböző biztonsági szoftverek használják, tehát a sikeres kikapcsolás a biztonsági rendszer sérüléséhez vezethet.

Szerverhez kapcsolódik

A trójai az alábbi információkat kísérli meg összegyűjteni:

  • az operációs rendszer verziója
  • virtuális környezet adatai
  • Adobe Flash verziója
  • processzorok száma
  • a PC GUID-ja

A szerverről érkező paracsoktól függően az alábbi események következhetnek be:

  • Frissíti magát
  • Frissíti a konfigurációját
  • Modulokat futtat

Kattintásos csalás

A trójai kattintásos csalást idézhet elő: a 95.211.193.11 (isstarmina.net) címen lévő reklámokra kattint a program.

A processzorok számától függően több fájlt is elindíthat a káros kód, és az alábbi folyamatokba ágyazódhat be:

  • %SystemRoot%twunk_32.exe
  • %SystemRoot%winhlp32.exe

Az alábbi adatokat hozza létre a regisztrációs adatbázisban a böngésző elrejtése érdekében: HKCUSOFTWAREMicrosoftInternet ExplorerMainFeatureControlFEATURE_BROWSER_EMULATION

  • twunk_32.exe =9000
  • winhlp32.exe =9000

Megoldás

Használjon vírusírtót és tűzfalat, illetve időnként frissítse azokat.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-22224 – VMware ESXi és Workstation sérülékenysége
CVE-2025-22225 – VMware ESXi sérülékenysége
CVE-2025-22226 – VMware ESXi, Workstation és Fusion sérülékenysége
CVE-2022-43939 – Hitachi Vantara Pentaho BA Server Authorization Bypass sebezhetősége
CVE-2022-43769 – Hitachi Vantara Pentaho BA Server Special Element Injection sebezhetősége
CVE-2024-4885 – Progress WhatsUp Gold Path Traversal sebezhetősége
CVE-2018-8639 – Microsoft Windows Win32k Improper Resource Shutdown or Release sebezhetősége
CVE-2023-20025 – Cisco Small Business Routers sebezhetősége
CVE-2023-20118 – Cisco Small Business RV Series Routers Command Injection sebezhetősége
Tovább a sérülékenységekhez »