Trawlmernib trójai


2016. augusztus 11. 09:02

CH azonosító

CH-13486

Angol cím

Trawlmernib trojan

Felfedezés dátuma

2016.08.01.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Trawlmernib nevű káros kód vált ismertté, amely felhasználói közreműködéssel – mp3 formátumú állomány letöltése és futtatása segítségével – módosítja az Internet Explorer beállításait, illetve automatikusan további kártékony kódot telepít a fertőzött eszközön.

Leírás

A Trawlmernib a futó programlistában Rambler elnevezésű alkalmazásként szerepel. A káros kód számos állományt hoz létre a fertőzött eszközön, illetve a regisztrációs adatbázisban további módosításokat hajt végre. A trójai elsősorban az Internet Explorer beállításait, valamint annak kezdőoldalát változtatja meg.

Technikai részletek:

1. a káros kód az alábbi könyvtárakat hozza létre:

%AppData%Rambler

%AppData%RamblerHoldem

%AppData%RamblerHoldemlogs

%AppData%MicrosoftInternet ExplorerServices

%AppData%Rambler

%AppData%RamblerRamblerUpdater

 

2. A káros kód az alábbi állományokat hozza létre:

[a trójai elérési útvonala]Rupdate.exe

%AppData%MozillaFirefoxProfilesf2ttyadv.defaultsearchpluginsrambler.xml

%AppData%RamblerHoldemlogsrupdate2.logt

%UserProfile%Desktophouse_rockerz_-_nur_tanzen_feat_unter_druck_club_mix_(zaycev.net).mp3

%AppData%RamblerRamblerUpdaterrupdate_standalone.exe

%Temp%Downloader.log

%Temp%hd.vbs

%Temp%RUpdate.exe

%Windir%PrefetchA6EB622EBBE1BF280748FB2CF342-1B0713BB.pf

%Windir%PrefetchRUPDATE.EXE-185DB5F4.pf

%AppData%MozillaFirefoxProfilesf2ttyadv.defaultsearchplugins

3. A káros kód az alábbiak szerint módosítja a regisztrációs adatbázist:

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwarePinstall

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwarePinstallrambler

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwareMicrosoftInternet ExplorerSearchScopes{CCD4604A-8AB5-4E58-8A19-208C50219357}DisplayName= “Rambler”

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwareMicrosoftInternet ExplorerSearchScopes{CCD4604A-8AB5-4E58-8A19-208C50219357}”URL” = “[…]”

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwareMicrosoftInternet ExplorerSearchScopes{CCD4604A-8AB5-4E58-8A19-208C50219357}ShowSearchSuggestions= “1”

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwareMicrosoftInternet ExplorerSearchScopes{CCD4604A-8AB5-4E58-8A19-208C50219357}SuggestionsURL_JSON = “[…]”

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwareMicrosoftInternet ExplorerSearchScopes{CCD4604A-8AB5-4E58-8A19-208C50219357}Codepage= “FDE9”

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwareMicrosoftInternet ExplorerSearchScopes{CCD4604A-8AB5-4E58-8A19-208C50219357}OSDFileURL= “%AppData%/Rambler/Holdem/xml.tmp”

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwareMicrosoftInternet ExplorerSearchScopes{CCD4604A-8AB5-4E58-8A19-208C50219357}FaviconURL= “[…]”

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{75048700-EF1F-11D0-9888-006097DEACF9}CountHRZR_EHACNGU:P:Qbphzragf naq FrggvatfnqzvaQrfxgbcn6ro622roor1os280748so2ps342n9517n59p7ps17n4nnr8021041poo2rq5n9.rkr= “[..]”

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwareMicrosoftWindowsCurrentVersionRunOnceRambler Update RunOnce= “%AppData%RamblerRamblerUpdaterrupdate_standalone.exe” /fromrunonce /standalone r40 6w31 /sethome /setsearch”

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwareMicrosoftWindowsShellNoRoamMUICache= “”%User Profile%Desktop”a6eb622ebbe1bf280748fb2cf342a9517a59c7cf17a4aae8021041cbb2ed5a9.exe = “Downloader””

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwareMicrosoftWindowsShellNoRoamMUICache@%Windir%system32netshell.dll,-1200= “Network Connections”

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwarePinstalli_user_id= “994B70AB-0741-44FD-85EC-03D33D404E32”

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwarePinstallramblerofferDate= “ld”

HKEY_USERSS-1-5-21-1454471165-854245398-682003330-1003SoftwarePinstallramblerinstallDate= “ld”

 

4. A káros kód módosítja az Internet Explorer alapértelmezett kezdőoldalát.

Támadás típusa

Trójai

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
CVE-2024-1874 – PHP sérülékenysége
CVE-2024-24576 – Rust sérülékenysége
CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége
CVE-2024-29988 – Microsoft Windows SmartScreen sérülékenysége
CVE-2024-26234 – Microsoft Windows proxy driver sérülékenysége
CVE-2023-6320 – LG webOS sérülékenysége
Tovább a sérülékenységekhez »