Trojan.Asterope


2014. július 27. 06:53

CH azonosító

CH-11459

Angol cím

Trojan.Asterope

Felfedezés dátuma

2014.07.22.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows XP
Windows 7
Windows Vista
Windows NT
Windows 2000

Összefoglaló

Az Asterope trójai internetes reklámok visszaéléseiből próbál hasznot húzni. A kártékony program a számítógépeken manipulációkat hajt végre, ezáltal a kattintás alapú csalásokat könnyíti meg. A trójai módosítja a regisztrációs adatbázist úgy, hogy értékeket változtat meg és hoz létre az Internet Explorer kárára. Az Asterope trójai egy konfigurációs fájl segítségével távolról vezérelhető. A kártékony program – amikor letölti a komponenseit- olyan információkhoz jut hozzá, amivel kezdeményezhet átirányításokat, valamint manipulálni tudja az URL-eket. A számítógépekre szükség esetén Flash Playert is telepíthet.

Leírás

1.A következő állományokat hozza létre:
%Temp%tmp[véletlenszerű karakterek].exe
%UserProfile%Application DataMicrosoftWindows[véletlenszerű karakterek].exe
%AllUsersProfile%Start MenuProgramsStartup[véletlenszerű karakterek].lnk
%UserProfile%Start MenuProgramsStartup[véletlenszerű karakterek].lnk
2.Az alábbi értékeket hozzáadja a regisztrációs adatbázishoz:
%HKEY_CURRENT_USER%SoftwareMicrosoftWindowsCurrentVersionExplorerVisualEffectsTooltipShadow”DefaultValue” = “0”
%HKEY_CURRENT_USER%SoftwareMicrosoftWindowsCurrentVersionExplorerVisualEffectsTooltipShadow”DefaultApplied” = “65”
%HKEY_CURRENT_USER%SoftwareMicrosoftWindowsCurrentVersionExplorerVisualEffectsTooltipShadow”random value” = “[…]”
3.A regisztrációs adatbázis következő kulcsaiban szereplő értékeket manipulálja:
HKEY_CURRENT_USERControl PanelDesktop
HKEY_CURRENT_USERSoftwareMicrosoftCommand Processor
HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Internet SettingsZones
4.Az alábbi értékeket hozzáfűzi a regisztrációs adatbázishoz:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
PoliciesExplorer”Run” = “%UserProfile%Application DataMicrosoftWindows[véletlenszerű karakterek].exe”””
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
“[RANDOM FILE NAME]” = “%UserProfile%Application DataMicrosoftWindows[véletlenszerű karakterek].exe”””
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
RunOnce”[RANDOM FILE NAME]” = “%UserProfile%Application DataMicrosoftWindows[véletlenszerű karakterek].exe”””
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet Explorer”GlobalUserOffline” = “0”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain”NoProtectedModeBanner” = “1”
5.Egy konfigurációs állományt tölt le az interneten keresztül, amely alapján további műveleteket hajt végre.
6.Néhány mutexet hoz létre.

Támadás típusa

Manipulation of data

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »