Volgmer.B Trójai


2015. szeptember 21. 09:14

CH azonosító

CH-12628

Angol cím

Volgmer.B Trojan

Felfedezés dátuma

2015.09.20.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Volgmer.B trójai Hangul Word Processor (HWP) dokumentumok révén terjed. A HWP állományokat feldolgozó szövegszerkesztő alkalmazást a dél-koreai Hamcom vállalat fejleszti az ottani, helyi és nyelvi sajátosságoknak megfelelően. Ezért a trójairól joggal feltételezhető, hogy elsősorban erre a régióra lett kiélezve.

Leírás

A Volgmer alapvetően két feladatot lát el. Egyrészt rendszerinformációkat gyűjt össze, illetve szivárogtat ki a számítógépre, a Windows-ra, a hálózati beállításokra és a folyamatokra vonatkozóan. Másrészt pedig egy hátsó kaput létesít a 443-as TCP porton keresztül. Ennek révén egyebek mellett a következő parancsok adhatók ki számára:

  • fájlműveletek
  • parancssorból futtatható utasítások végrehajtása
  • folyamatok leállítása
  • fájlok feltöltése és letöltése
  • hálózati portok nyitása
  • a trójai fájljainak frissítése
  • a trójai eltávolítása

Technikai részletek:

1. Létrehozza a következő állományokat:
%AllUsersProfile%Start MenuProgramsStartupMpCmdRun.exe
%Temp%PMS[SEQUENTIAL NUMBER].tmp
%Temp%AdobeArm.exe
%Temp%svchost.exe
%Temp%qsm.bat
%Temp%msdtcvtre.bat
%Temp%zawq.bat

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShell FoldersCommon Startup” = “C:Documents and SettingsAll UsersStart MenuProgramsStartup

3. Csatlakozik egy távoli kiszolgálóhoz a 443-as TCP porton keresztül.

4. Nyit egy hátsó kaput.

5. Összegyűjti a számítógépre, az operációs rendszerre, a hálózatra és a folyamatokra vonatkozó legfontosabb információkat.

6. Az összegyűjtött adatokat kiszivárogtatja.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
backdoor

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-26466 – OpenSSH sérülékenysége
CVE-2025-26465 – OpenSSH sérülékenysége
CVE-2024-57727 – SimpleHelp Path Traversal sebezhetősége
CVE-2024-53704 – SonicOS SSLVPN Authentication Bypass sebezhetősége
CVE-2025-1094 – PostgreSQL sérülékenysége
CVE-2025-21377 – NTLM Hash Disclosure Spoofing sebezhetősége
CVE-2025-21194 – Microsoft Surface Security Feature Bypass sebezhetősége
CVE-2025-21418 – Windows Ancillary Function Driver for WinSock Elevation of Privilege sebezhetősége
CVE-2025-21391 – Windows Storage Elevation of Privilege sebezhetősége
Tovább a sérülékenységekhez »