Volgmer.B Trójai


2015. szeptember 21. 09:14

CH azonosító

CH-12628

Angol cím

Volgmer.B Trojan

Felfedezés dátuma

2015.09.20.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Volgmer.B trójai Hangul Word Processor (HWP) dokumentumok révén terjed. A HWP állományokat feldolgozó szövegszerkesztő alkalmazást a dél-koreai Hamcom vállalat fejleszti az ottani, helyi és nyelvi sajátosságoknak megfelelően. Ezért a trójairól joggal feltételezhető, hogy elsősorban erre a régióra lett kiélezve.

Leírás

A Volgmer alapvetően két feladatot lát el. Egyrészt rendszerinformációkat gyűjt össze, illetve szivárogtat ki a számítógépre, a Windows-ra, a hálózati beállításokra és a folyamatokra vonatkozóan. Másrészt pedig egy hátsó kaput létesít a 443-as TCP porton keresztül. Ennek révén egyebek mellett a következő parancsok adhatók ki számára:

  • fájlműveletek
  • parancssorból futtatható utasítások végrehajtása
  • folyamatok leállítása
  • fájlok feltöltése és letöltése
  • hálózati portok nyitása
  • a trójai fájljainak frissítése
  • a trójai eltávolítása

Technikai részletek:

1. Létrehozza a következő állományokat:
%AllUsersProfile%Start MenuProgramsStartupMpCmdRun.exe
%Temp%PMS[SEQUENTIAL NUMBER].tmp
%Temp%AdobeArm.exe
%Temp%svchost.exe
%Temp%qsm.bat
%Temp%msdtcvtre.bat
%Temp%zawq.bat

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShell FoldersCommon Startup” = “C:Documents and SettingsAll UsersStart MenuProgramsStartup

3. Csatlakozik egy távoli kiszolgálóhoz a 443-as TCP porton keresztül.

4. Nyit egy hátsó kaput.

5. Összegyűjti a számítógépre, az operációs rendszerre, a hálózatra és a folyamatokra vonatkozó legfontosabb információkat.

6. Az összegyűjtött adatokat kiszivárogtatja.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
backdoor

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »