Venik trójai


2015. október 14. 07:56

CH azonosító

CH-12692

Angol cím

Trojan.Venik

Felfedezés dátuma

2015.10.12.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000
Windows 7
Windows 95
Windows 98
Windows Me
Windows NT
Windows Vista
Windows XP

Összefoglaló

A Venik trójai gondosan ügyel arra, hogy egy számítógépen egyszerre csak egy példányban fusson. Különös óvatosságot mutat akkor, ha azt észleli, hogy egy virtuális gépre került fel. Amennyiben azonban minden számára fontos körülmény adott, akkor rögtön nekilát a legfontosabb feladatainak elvégzéséhez. Ez egyrészt fájlok kiszivárogtatásában merül ki, másrészt pedig egy hátsó kapu létrehozásában.

A Venik egyebek mellett a következő feladatok elvégzésére utasítható távolról:

  • fájlok le- és feltöltése
  • szolgáltatások létrehozása
  • a számítógép újraindítása vagy leállítása
  • kapcsolatok lezárása
  • a saját fájljainak frissítése.

A trójai fontos jellemzője, hogy esetenként fájltörlésre is vetemedik, amivel további károk forrásául szolgál.

Leírás

1. Létrehozza a következő állományokat:
%SystemDrive%[véletlenszerű karakterek][véletlenszerű karakterek].[véletlenszerű karakterek]
[a trójai könyvtára]lang.ini

2. A regisztrációs adatbázist kiegészíti az alábbi bejegyzéssel:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”EvtMgr” = “[a trójai elérési útvonala]”

3. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.

4. Bemásol a könyvtárába egy ReadMe.txt nevű fájlt.

5. A rendszermeghajtó gyökérkönyvtárába létrehoz egy wiseman.exe nevű fájlt.

6. Rendszerinformációkat (hardverparamétereket, területi beállításokat) gyűjt össze

7. Az összegyűjtött adatokat feltölti egy távoli kiszolgálóra a 3201-es porton keresztül.

8. Nyit egy hátsó kaput.

9. Várakozik a terjesztői által kiadott parancsokra.

10. Manipulálja a Windows host állományát.

11. Amennyiben az alábbi fájlok léteznek, akkor megpróbálja azokat törölni:
ASDSvc.exe
V3Lite.exe
%SystemDrive%1.vbs

12. Kapcsolódik egy vezérlőszerverhez.

13. Különféle fájlokat tölt fel a vezérlőszerverére.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool.

Támadás típusa

Hijacking (Visszaélés)
Trójai

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »