TektonIt trójai

CH azonosító

CH-12613

Angol cím

MonitoringTool:Win32/TektonIt

Felfedezés dátuma

2015.09.13.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A TektonIt trójai klasszikus kémkedési eljárásokat használ ahhoz, hogy a terjesztőit minél több bizalmas adattal, információval tudja ellátni. A fertőzött számítógépeken folyamatosan naplózza a billentyűleütéseket, és rendszeres időközönként képernyőképeket ment le. Amikor elegendő adat áll rendelkezésére, akkor az összegyűjtött információkat, képállományokat feltölti a vezérlőszerverére.

A TektonIt alapvetően úgy próbálja magát álcázni, hogy látszólag Windows-hoz tartózó fájlokat másol fel a rendszerre. Azonban ezt követően is folytatja a rejtőzködést, hiszen különböző folyamatokat fertőz meg, és azok mögül végzi a feladatát. Eközben pedig folyamatosan kommunikál a vezérlőszerverével.

Leírás

1. Létrehozza a következő állományokat:
%APPDATA%windowscontroldata.exe
%APPDATA%windowscontrolinstall.bat
%APPDATA%windowscontrolrfusclient.exe
%APPDATA%windowscontrolrun.exe
%APPDATA%windowscontrolrutserv.exe
%APPDATA%windowscontrolvp8decoder.dll
%APPDATA%windowscontrolvp8encoder.dll
%TEMP%7e04.tmprun.bat

2. Különféle folyamatokat fertőz meg. 

3. Ellenőrzi, hogy van-e élő internetkapcsolat.

4. Csatlakozik egy távoli vezérlőszerverhez.

5. Jelenti a fertőzés megtörténtét.

6. Parancsokat fogad a vezérlőszerveréről.

7. Folyamatosan naplózza a billentyűleütéseket.

8. Rendszeresen képernyőképeket ment le.

9. Az összegyűjtött adatokat, fájlokat feltölti a kiszolgálójára.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »