Win32/Prikormka kártevő család

CH azonosító

CH-13250

Angol cím

Win32/Prikormka malware family

Felfedezés dátuma

2016.05.18.

Súlyosság

Alacsony

Érintett rendszerek

Windows

Érintett verziók

Microsoft Windows 2000, Windows 7, Windows 95, Windows 98, Windows NT, Windows Vista, Windows XP

Összefoglaló

A Win32/Prikormka feltehetőleg ukrán eredetű malware család, amely 2014 óta fertőz. Célpontjai jellemzően ukrán magánszemélyek, de 2016 márciusában magyar nyelvű fertőzött fájlokat is találtak.

Leírás

A kártevő e-mailek fertőzött csatolmányaként terjed, ami jellemzően egy dokumentumnak álcázott .SCR vagy .EXE kiterjesztésű, futtatható állomány, tömörítve. Futtatáskor egyrészt fertőzi a gépet, ezzel párhuzamosan egy csaló dokumentumot is megjelenít (figyelemelterelés gyanánt), valamint nyit egy orosz nyelvű WinRAR párbeszédablakot. (A magyar szövegű kampányban nem volt ilyen.) Előfordulhat, hogy nem csatolmány, hanem csupán egy hivatkozás szerepel az e-mailben, ami egy káros webhelyre mutat.

Tevékenységét tekintve információt gyűjt a fertőzött gépről és továbbítja azokat a megadott C&C szerverek felé. A sikeres fertőzéshez a kártevőnek admin jogosultságra van szüksége. Ha a támadott felhasználó nem ilyen jogosultsággal van bejelentkezve, a program bekéri az admin jelszót. Ezt követően további modulokat tölt le és hozzálát az adatgyűjtéshez.

Figyeli a billentyűleütéseket, rögzítheti a Skype hívásokat, időközönként képernyőmentést végez, Wifi adatokat és a számítógép műszaki paramétereit is gyűjti, továbbá az alábbi programokban tárolt jeszavakat igyekszik megszerezni:

  • Google Chrome
  • Opera Browser
  • Yandex Browser
  • Comodo Dragon Internet Browser
  • Rambler Browser (Nichrome)
  • Mozilla Firefox
  • Mozilla Thunderbird  

Az alábbi fájlok jelezhetnek fertőzést:

  • %PROGRAMFILES%IntelRestore
  • %USERPROFILE%Resentroamingocp8.1
  • %USERPROFILE%AppDataLocalMMC
  • %USERPROFILE%AppDataLocalPMG
  • %USERPROFILE%AppDataLocalSKC
  • %USERPROFILE%AppDataLocalCMS
  • %USERPROFILE%AppDataLocalVRT
  • %USERPROFILE%AppDataLocalioctl
  • %WINDIR%ntshrui.dll
  • %WINDIR%hauthuid.dll
  • %WINDIR%hlpuctf.dll
  • %WINDIR%atiml.dll
  • %WINDIR%iomus.dll
  • %WINDIR%swma.dll
  • %WINDIR%helpldr.dll
  • %WINDIR%rbcon.ini
  • %USERPROFILE%AppDataLocalCMSkrman.ini
  • %USERPROFILE%AppDataLocalVRT _ wputproc.dll

Hálózati tevékenysége során az alábbi irányokba (C&C szerverek) kísérel meg kommunikációt:

  • bolepaund.com 
  • celebrat.net 
  • disk-fulldatabase.rhcloud.com 
  • easerver-fulldatabase.rhcloud.com
  • gils.ho.ua 
  • lefting.org 
  • literat.ho.ua 
  • server-eacloud.rhcloud.com 
  • wallejob.in.ua 
  • wallex.ho.ua 
  • 91.228.146.12
  • 91.228.146.11
  • 91.228.146.11
  • 91.228.146.13
  • 91.228.146.12
  • 91.228.146.13
  • 185.68.16.35
  • 54.152.171.48
  • 54.175.208.187
  • 23.22.38.222
  • 54.163.210.39
  • 52.23.164.7
  • 23.22.221.237

Megoldás

  • Az ESET Nod32 vírusírtója felismeri a kártevőt.
  • Ne nyisson meg gyanús csatolmányú leveleket.
  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket).
  • Használjon offline biztonsági mentést, és naprakész antivirus alkalmazást.



Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-25181 – Advantive VeraCore SQL Injection sebezhetősége
CVE-2025-22224 – VMware ESXi és Workstation sérülékenysége
CVE-2025-22225 – VMware ESXi sérülékenysége
CVE-2025-22226 – VMware ESXi, Workstation és Fusion sérülékenysége
CVE-2022-43939 – Hitachi Vantara Pentaho BA Server Authorization Bypass sebezhetősége
CVE-2022-43769 – Hitachi Vantara Pentaho BA Server Special Element Injection sebezhetősége
CVE-2024-4885 – Progress WhatsUp Gold Path Traversal sebezhetősége
CVE-2018-8639 – Microsoft Windows Win32k Improper Resource Shutdown or Release sebezhetősége
CVE-2023-20025 – Cisco Small Business Routers sebezhetősége
Tovább a sérülékenységekhez »