Trawlmernib trójai


2016. augusztus 11. 09:02

CH azonosító

CH-13486

Angol cím

Trawlmernib trojan

Felfedezés dátuma

2016.08.01.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Trawlmernib nevű káros kód vált ismertté, amely felhasználói közreműködéssel – mp3 formátumú állomány letöltése és futtatása segítségével – módosítja az Internet Explorer beállításait, illetve automatikusan további kártékony kódot telepít a fertőzött eszközön.

Leírás

A Trawlmernib a futó programlistában Rambler elnevezésű alkalmazásként szerepel. A káros kód számos állományt hoz létre a fertőzött eszközön, illetve a regisztrációs adatbázisban további módosításokat hajt végre. A trójai elsősorban az Internet Explorer beállításait, valamint annak kezdőoldalát változtatja meg.

Technikai részletek:

1. a káros kód az alábbi könyvtárakat hozza létre:

%AppData%Rambler

%AppData%RamblerHoldem

%AppData%RamblerHoldemlogs

%AppData%MicrosoftInternet ExplorerServices

%AppData%Rambler

%AppData%RamblerRamblerUpdater

 

2. A káros kód az alábbi állományokat hozza létre:

[a trójai elérési útvonala]Rupdate.exe

%AppData%MozillaFirefoxProfilesf2ttyadv.defaultsearchpluginsrambler.xml

%AppData%RamblerHoldemlogsrupdate2.logt

%UserProfile%Desktophouse_rockerz_-_nur_tanzen_feat_unter_druck_club_mix_(zaycev.net).mp3

%AppData%RamblerRamblerUpdaterrupdate_standalone.exe

%Temp%Downloader.log

%Temp%hd.vbs

%Temp%RUpdate.exe

%Windir%PrefetchA6EB622EBBE1BF280748FB2CF342-1B0713BB.pf

%Windir%PrefetchRUPDATE.EXE-185DB5F4.pf

%AppData%MozillaFirefoxProfilesf2ttyadv.defaultsearchplugins

3. A káros kód az alábbiak szerint módosítja a regisztrációs adatbázist:

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwarePinstall

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwarePinstallrambler

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwareMicrosoftInternet ExplorerSearchScopes{CCD4604A-8AB5-4E58-8A19-208C50219357}DisplayName= “Rambler”

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwareMicrosoftInternet ExplorerSearchScopes{CCD4604A-8AB5-4E58-8A19-208C50219357}”URL” = “[…]”

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwareMicrosoftInternet ExplorerSearchScopes{CCD4604A-8AB5-4E58-8A19-208C50219357}ShowSearchSuggestions= “1”

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwareMicrosoftInternet ExplorerSearchScopes{CCD4604A-8AB5-4E58-8A19-208C50219357}SuggestionsURL_JSON = “[…]”

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwareMicrosoftInternet ExplorerSearchScopes{CCD4604A-8AB5-4E58-8A19-208C50219357}Codepage= “FDE9”

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwareMicrosoftInternet ExplorerSearchScopes{CCD4604A-8AB5-4E58-8A19-208C50219357}OSDFileURL= “%AppData%/Rambler/Holdem/xml.tmp”

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwareMicrosoftInternet ExplorerSearchScopes{CCD4604A-8AB5-4E58-8A19-208C50219357}FaviconURL= “[…]”

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{75048700-EF1F-11D0-9888-006097DEACF9}CountHRZR_EHACNGU:P:Qbphzragf naq FrggvatfnqzvaQrfxgbcn6ro622roor1os280748so2ps342n9517n59p7ps17n4nnr8021041poo2rq5n9.rkr= “[..]”

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwareMicrosoftWindowsCurrentVersionRunOnceRambler Update RunOnce= “%AppData%RamblerRamblerUpdaterrupdate_standalone.exe” /fromrunonce /standalone r40 6w31 /sethome /setsearch”

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwareMicrosoftWindowsShellNoRoamMUICache= “”%User Profile%Desktop”a6eb622ebbe1bf280748fb2cf342a9517a59c7cf17a4aae8021041cbb2ed5a9.exe = “Downloader””

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwareMicrosoftWindowsShellNoRoamMUICache@%Windir%system32netshell.dll,-1200= “Network Connections”

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwarePinstalli_user_id= “994B70AB-0741-44FD-85EC-03D33D404E32”

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwarePinstallramblerofferDate= “ld”

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwarePinstallramblerinstallDate= “ld”

 

4. A káros kód módosítja az Internet Explorer alapértelmezett kezdőoldalát.

Támadás típusa

Trójai

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »