Trojan:MSIL/Bepush


2014. február 14. 15:41

CH azonosító

CH-10555

Angol cím

Trojan:MSIL/Bepush

Felfedezés dátuma

2014.02.05.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A trójaik ezen családja képes letölteni, és telepíteni Chrome és Firefox beélpülő modulokat. Ezek a modulok átirányítják a böngészőt más oldalakra.

A trójai programok ezt a plugint használva próbálnak terjedni közösségi média oldalakon keresztül, mint a Facebook, Twitter, VKonkrate Youtube és Google+ azzal, hogy linkeket és vieókat osztanak meg.

Leírás

A trójai megpróbál hozzáférni a felhasználó adatlapjához a következő oldalakon:

  • Google+
  • Facebook
  • Twitter
  • VK (VKontakte)
  • YouTube

Ha van hozzáférése, linkeket helyez el az adatlapokon, ami arra ösztönzi a barátokat, vagy követőket, hogy tekintsenek meg a videót. Általában az üzenetek a felhasználó nyelvén jelennek meg.

Amikor valaki megnyitja a videót, egy ablak figyelmeztet, hogy frissíteni kell a Flash Playert. A link egy trójai programra mutat (TrojanDropper:MSIL/Bepush.A.), ami települ a számítógépre, és megfertőzi a felhasználó saját profiját.

A beépülő modul megváltoztatja a böngésző beállításait, így amikor egy új ablakot nyit a felhasználó a Chrome vagy Firefox böngészőjében, át lesz irányítva a www.fileshareservices.net/start.html oldalra.

Léteznek olyan variánsok a MSIL/Bepush családban, amelyek megpróbálnak hamis Flash Playert letölteni a következő oldalak valamelyikéről:

  • http://www.fileshareservices.org/extFiles/buflash.xpi
  • http://www.fileshareservices.org/extFiles/bune10.zip
  • http://www.fileshareservices.org/extFiles/list.txt
  • http://www.fileshareservices.org/extFiles/NewFile000305.exe
  • http://www.fileshareservices.org/extFiles/yok.txt
  • http://www.fileshareservices.org/extFiles/control305.txt

A %ProgramData% mappában a következő állományokat helyezi el, de ez változhat:

  • FLVUpdate.exe
  • SExtensionFlash_Plugin.exe
  • SExtensionIonic.Zip.dll
  • SExtensionlog_635271254169910234.txt
  • SExtensionSExtensionbuflash.xpi
  • SExtensionSExtensionbune10.zip
  • SExtensionSystem.Data.SQLite.dll
  • SExtensionUpdater.exe
  • YokExe.exe

Megoldás

Naprakész vírusírtó telepítése.

Támadás típusa

Other (Egyéb)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)

Hivatkozások

Gyártói referencia: www.microsoft.com
Gyártói referencia: www.microsoft.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »