Readomesa trójai

CH azonosító

CH-11810

Angol cím

Backdoor.Readomesa

Felfedezés dátuma

2014.11.16.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A Readomesa trójai célja, hogy elősegítse azokat a támadásokat, amelyek különféle rendszerek, illetve szolgáltatások térdre kényszerítésére irányulnak. Vagyis a trójai szolgáltatásmegtagadási támadások végrehajtását támogatja. Elsősorban olyan komponensekkel rendelkezik, amelyek hálózatalapú DoS támadásokhoz járulhatnak hozzá.

A Readomesa felhasználói mappákba és fájlok átmeneti tárolására szolgáló könyvtárakba másolja be a saját állományait. Ezt követően nyit egy hátsó kaput, ami többek között azt a célt szolgálja, hogy a károkozó képes legyen fogadni a támadók által kiadott utasításokat. A kártevő így szerez tudomást arról, hogy éppen milyen célpont ellen kell harcba szállnia.

Leírás

1. Létrehozza a következő állományokat:
%Temp%IPX[véletlenszerű karakterek].TMPreadme.txt
%Temp%IPX[véletlenszerű karakterek].TMPlibssp-0.dll
%Temp%IPX[véletlenszerű karakterek].TMPctfmon.exe
%AllUsersProfile%Application Datareadme.txt
%AllUsersProfile%Application Datalibssp-0.dll
%AllUsersProfile%Application Datactfmon.exe
%UserProfile%acpi64.cnm
%UserProfile%xupdater.exe
2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”wextract_cleanup1″ = “rundll32.exe %System%advpack.dll,DelNodeRunDLL32 “%Temp%IXP[véletlenszerű karakterek].TMP\””
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”wextract_cleanup0″ = “rundll32.exe %System%advpack.dll,DelNodeRunDLL32 “%Temp%IXP[véletlenszerű karakterek].TMP\””
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”pidgin” = “%AllUsersProfile%Application Datactfmon.exe”
3. Csatlakozik egy távoli kiszolgálóhoz.
4. Nyit egy hátsó kaput.
5. Szolgáltatásmegtagadási támadásokat kezdeményez HTTP, TCP és UDP protokollokra épülő módszerek felhasználásával.
6. Interneten keresztül frissíti a saját állományait.


Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »