W32.Fixflo.B Trójai


2014. január 16. 12:59

CH azonosító

CH-10359

Angol cím

W32.Fixflo.B Trojan

Felfedezés dátuma

2014.01.05.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows

Összefoglaló

A W32.Fixflo.B olyan trójai, amely megfertőzi futtatható és dll fájlokat a számítógépen, valamint lehetővé teszi állományok letöltését és végrehajását a feltört számítógépen.

Leírás

Technikai részletek:

Bemásolja magát a következő helyre:
%CommonProgramFiles%Systemsymsrv.dll

Bemásolja a következő állományt a Windows Temp mappába:
%Temp%mccvn.sys

A regisztrációs adatbáziban a következő bejegyzéseket hozza létre, amelyek a Windows indulásakor minden esetben végrehajtódnak:

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows”LoadAppInit_DLLs” = “1”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows”RequireSignedAppInit_DLLs” = “0”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows”AppInit_DLLs” = “%CommonProgramFiles%Systemsymsrv.dll”

A regisztrációs adatbázisban létrehozza a következő bejegyzést:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”SFCDisable” = “FFFFFF9D” 

A regisztrációs adatbázisban módosítja a következő értékeket, hogy elrejtse jelenlétét

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced”ShowSuperHidden” = “0”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHidden”Type” = “radio”

Létrehoz egy KILLPRC nevű, Windows-os szolgáltatást

  • Startup Type: Manual
  • Image Path: %Temp%mccvn.sys
  • Display Name: KILLPRC

API-kal eseményeket figyel:

  • CreateFileW
  • ExitProcess
  • RegOpenKeyExA
  • RegOpenKeyExW
  • CreateProcessInternalW
  • CredReadW
  • MessageBoxTimeoutW

Megpróbál csatlakozni sorban az alábbi távoli szerverekhez további káros szoftverek letöltése végett

  • [http://]174.139.10.194/setu[REMOVED]
  • [http://]5isohu.com/setu[REMOVED]
  • [http://]www.aieov.com/setu[REMOVED]

Megfertőzi a futtatható és a DLL-kiterjesztésű állományokat és ellopja a hitelesítő adatokat a feltört számítógépen

Letöltet, majd futtat különféle programokat.

Megoldás

Használjon tűzfalat és vírusírtót, amelyet folyamtosan frissítse, növelje a jelszó-házirend erősségét, tiltsa le az automatikus lejátszást. Fájlmegostás esetén használjon ACL-eket és jelszavakat. Kapcsolja ki, majd távolítsa el a felesleges szolgáltatásokat.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Misconfiguration (Konfiguráció)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »