Volgmer.B Trójai

CH azonosító

CH-12628

Angol cím

Volgmer.B Trojan

Felfedezés dátuma

2015.09.20.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Volgmer.B trójai Hangul Word Processor (HWP) dokumentumok révén terjed. A HWP állományokat feldolgozó szövegszerkesztő alkalmazást a dél-koreai Hamcom vállalat fejleszti az ottani, helyi és nyelvi sajátosságoknak megfelelően. Ezért a trójairól joggal feltételezhető, hogy elsősorban erre a régióra lett kiélezve.

Leírás

A Volgmer alapvetően két feladatot lát el. Egyrészt rendszerinformációkat gyűjt össze, illetve szivárogtat ki a számítógépre, a Windows-ra, a hálózati beállításokra és a folyamatokra vonatkozóan. Másrészt pedig egy hátsó kaput létesít a 443-as TCP porton keresztül. Ennek révén egyebek mellett a következő parancsok adhatók ki számára:

  • fájlműveletek
  • parancssorból futtatható utasítások végrehajtása
  • folyamatok leállítása
  • fájlok feltöltése és letöltése
  • hálózati portok nyitása
  • a trójai fájljainak frissítése
  • a trójai eltávolítása

Technikai részletek:

1. Létrehozza a következő állományokat:
%AllUsersProfile%Start MenuProgramsStartupMpCmdRun.exe
%Temp%PMS[SEQUENTIAL NUMBER].tmp
%Temp%AdobeArm.exe
%Temp%svchost.exe
%Temp%qsm.bat
%Temp%msdtcvtre.bat
%Temp%zawq.bat

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShell FoldersCommon Startup” = “C:Documents and SettingsAll UsersStart MenuProgramsStartup

3. Csatlakozik egy távoli kiszolgálóhoz a 443-as TCP porton keresztül.

4. Nyit egy hátsó kaput.

5. Összegyűjti a számítógépre, az operációs rendszerre, a hálózatra és a folyamatokra vonatkozó legfontosabb információkat.

6. Az összegyűjtött adatokat kiszivárogtatja.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool.

Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »