Trojan:MSIL/Bepush


2014. február 14. 15:41

CH azonosító

CH-10555

Angol cím

Trojan:MSIL/Bepush

Felfedezés dátuma

2014.02.05.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A trójaik ezen családja képes letölteni, és telepíteni Chrome és Firefox beélpülő modulokat. Ezek a modulok átirányítják a böngészőt más oldalakra.

A trójai programok ezt a plugint használva próbálnak terjedni közösségi média oldalakon keresztül, mint a Facebook, Twitter, VKonkrate Youtube és Google+ azzal, hogy linkeket és vieókat osztanak meg.

Leírás

A trójai megpróbál hozzáférni a felhasználó adatlapjához a következő oldalakon:

  • Google+
  • Facebook
  • Twitter
  • VK (VKontakte)
  • YouTube

Ha van hozzáférése, linkeket helyez el az adatlapokon, ami arra ösztönzi a barátokat, vagy követőket, hogy tekintsenek meg a videót. Általában az üzenetek a felhasználó nyelvén jelennek meg.

Amikor valaki megnyitja a videót, egy ablak figyelmeztet, hogy frissíteni kell a Flash Playert. A link egy trójai programra mutat (TrojanDropper:MSIL/Bepush.A.), ami települ a számítógépre, és megfertőzi a felhasználó saját profiját.

A beépülő modul megváltoztatja a böngésző beállításait, így amikor egy új ablakot nyit a felhasználó a Chrome vagy Firefox böngészőjében, át lesz irányítva a www.fileshareservices.net/start.html oldalra.

Léteznek olyan variánsok a MSIL/Bepush családban, amelyek megpróbálnak hamis Flash Playert letölteni a következő oldalak valamelyikéről:

  • http://www.fileshareservices.org/extFiles/buflash.xpi
  • http://www.fileshareservices.org/extFiles/bune10.zip
  • http://www.fileshareservices.org/extFiles/list.txt
  • http://www.fileshareservices.org/extFiles/NewFile000305.exe
  • http://www.fileshareservices.org/extFiles/yok.txt
  • http://www.fileshareservices.org/extFiles/control305.txt

A %ProgramData% mappában a következő állományokat helyezi el, de ez változhat:

  • FLVUpdate.exe
  • SExtensionFlash_Plugin.exe
  • SExtensionIonic.Zip.dll
  • SExtensionlog_635271254169910234.txt
  • SExtensionSExtensionbuflash.xpi
  • SExtensionSExtensionbune10.zip
  • SExtensionSystem.Data.SQLite.dll
  • SExtensionUpdater.exe
  • YokExe.exe

Megoldás

Naprakész vírusírtó telepítése.

Támadás típusa

Other (Egyéb)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)

Hivatkozások

Gyártói referencia: www.microsoft.com
Gyártói referencia: www.microsoft.com

Legfrissebb sérülékenységek
CVE-2024-31857 – WordPress Forminator plugin sérülékenysége
CVE-2024-31077 – WordPress Forminator plugin sérülékenysége
CVE-2024-28890 – WordPress Forminator plugin sérülékenysége
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
CVE-2024-1874 – PHP sérülékenysége
CVE-2024-24576 – Rust sérülékenysége
CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége
Tovább a sérülékenységekhez »