Trojan.Asterope

CH azonosító

CH-11459

Angol cím

Trojan.Asterope

Felfedezés dátuma

2014.07.22.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows XP
Windows 7
Windows Vista
Windows NT
Windows 2000

Összefoglaló

Az Asterope trójai internetes reklámok visszaéléseiből próbál hasznot húzni. A kártékony program a számítógépeken manipulációkat hajt végre, ezáltal a kattintás alapú csalásokat könnyíti meg. A trójai módosítja a regisztrációs adatbázist úgy, hogy értékeket változtat meg és hoz létre az Internet Explorer kárára. Az Asterope trójai egy konfigurációs fájl segítségével távolról vezérelhető. A kártékony program – amikor letölti a komponenseit- olyan információkhoz jut hozzá, amivel kezdeményezhet átirányításokat, valamint manipulálni tudja az URL-eket. A számítógépekre szükség esetén Flash Playert is telepíthet.

Leírás

1.A következő állományokat hozza létre:
%Temp%tmp[véletlenszerű karakterek].exe
%UserProfile%Application DataMicrosoftWindows[véletlenszerű karakterek].exe
%AllUsersProfile%Start MenuProgramsStartup[véletlenszerű karakterek].lnk
%UserProfile%Start MenuProgramsStartup[véletlenszerű karakterek].lnk
2.Az alábbi értékeket hozzáadja a regisztrációs adatbázishoz:
%HKEY_CURRENT_USER%SoftwareMicrosoftWindowsCurrentVersionExplorerVisualEffectsTooltipShadow”DefaultValue” = “0”
%HKEY_CURRENT_USER%SoftwareMicrosoftWindowsCurrentVersionExplorerVisualEffectsTooltipShadow”DefaultApplied” = “65”
%HKEY_CURRENT_USER%SoftwareMicrosoftWindowsCurrentVersionExplorerVisualEffectsTooltipShadow”random value” = “[…]”
3.A regisztrációs adatbázis következő kulcsaiban szereplő értékeket manipulálja:
HKEY_CURRENT_USERControl PanelDesktop
HKEY_CURRENT_USERSoftwareMicrosoftCommand Processor
HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Internet SettingsZones
4.Az alábbi értékeket hozzáfűzi a regisztrációs adatbázishoz:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
PoliciesExplorer”Run” = “%UserProfile%Application DataMicrosoftWindows[véletlenszerű karakterek].exe”””
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
“[RANDOM FILE NAME]” = “%UserProfile%Application DataMicrosoftWindows[véletlenszerű karakterek].exe”””
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
RunOnce”[RANDOM FILE NAME]” = “%UserProfile%Application DataMicrosoftWindows[véletlenszerű karakterek].exe”””
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet Explorer”GlobalUserOffline” = “0”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain”NoProtectedModeBanner” = “1”
5.Egy konfigurációs állományt tölt le az interneten keresztül, amely alapján további műveleteket hajt végre.
6.Néhány mutexet hoz létre.


Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »