Venik trójai

CH azonosító

CH-12692

Angol cím

Trojan.Venik

Felfedezés dátuma

2015.10.12.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000
Windows 7
Windows 95
Windows 98
Windows Me
Windows NT
Windows Vista
Windows XP

Összefoglaló

A Venik trójai gondosan ügyel arra, hogy egy számítógépen egyszerre csak egy példányban fusson. Különös óvatosságot mutat akkor, ha azt észleli, hogy egy virtuális gépre került fel. Amennyiben azonban minden számára fontos körülmény adott, akkor rögtön nekilát a legfontosabb feladatainak elvégzéséhez. Ez egyrészt fájlok kiszivárogtatásában merül ki, másrészt pedig egy hátsó kapu létrehozásában.

A Venik egyebek mellett a következő feladatok elvégzésére utasítható távolról:

  • fájlok le- és feltöltése
  • szolgáltatások létrehozása
  • a számítógép újraindítása vagy leállítása
  • kapcsolatok lezárása
  • a saját fájljainak frissítése.

A trójai fontos jellemzője, hogy esetenként fájltörlésre is vetemedik, amivel további károk forrásául szolgál.

Leírás

1. Létrehozza a következő állományokat:
%SystemDrive%[véletlenszerű karakterek][véletlenszerű karakterek].[véletlenszerű karakterek]
[a trójai könyvtára]lang.ini

2. A regisztrációs adatbázist kiegészíti az alábbi bejegyzéssel:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”EvtMgr” = “[a trójai elérési útvonala]”

3. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.

4. Bemásol a könyvtárába egy ReadMe.txt nevű fájlt.

5. A rendszermeghajtó gyökérkönyvtárába létrehoz egy wiseman.exe nevű fájlt.

6. Rendszerinformációkat (hardverparamétereket, területi beállításokat) gyűjt össze

7. Az összegyűjtött adatokat feltölti egy távoli kiszolgálóra a 3201-es porton keresztül.

8. Nyit egy hátsó kaput.

9. Várakozik a terjesztői által kiadott parancsokra.

10. Manipulálja a Windows host állományát.

11. Amennyiben az alábbi fájlok léteznek, akkor megpróbálja azokat törölni:
ASDSvc.exe
V3Lite.exe
%SystemDrive%1.vbs

12. Kapcsolódik egy vezérlőszerverhez.

13. Különféle fájlokat tölt fel a vezérlőszerverére.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool.

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »