Zekapab trójai

CH azonosító

CH-13271

Angol cím

Trojan.Zekapab

Felfedezés dátuma

2016.05.26.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 8, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Zekapab trójai egy hátsó kaput nyit a fertőzött rendszeren, amin keresztül adatokat szivárogtat, illetve lehetőséget adhat további káros összetevők letöltésére.

Leírás

Futáskor létrehozza az alábbi fájlokat:

  • %AppData%MicrosoftNetworkHTML Helpsrvsmcl.exe
  • %Temp%dbase.exe
  • %AppData%MicrosoftNetworkSupportAssistansesrvsml.exe
  • %Temp%srvmcc.exe
  • %AppData%MicrosoftNetworkHTML Helpsrvsml.exe
  • %AppData%MicrosoftNetworkConnectionsCertificatesrvscc.exe
  • %Temp%_GUpdater.exe

Valamint az alábbi registry bejegyzéseket: 

  • HKEY_CURRENT_USERSoftwareMicrosoftDrivers”DriverID” = “110011”
  • HKEY_CURRENT_USERSoftwareMicrosoftConnect”Software” = “11110111”
  • HKEY_CURRENT_USERSoftwareMicrosoftActiveAssistance”Software” = “110101”
  • HKEY_CURRENT_USERSoftwareMicrosoftConnect”Software” = “11110111”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”MSCertificates” = “%Temp%dbase.exe”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”ThemeManager” = “%Temp%_GUpdater.exe”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”MSCertificates” = “%Temp%srvmcc.exe”

Az alábbi process-ek detektálása esetén felfüggeszti a működését: 

  • vmacthlp.exe
  • vmtoolsd.exe
  • VBoxTray.exe
  • VBoxService.exe
  • prl_cc.exe
  • prl_tools.exe
  • SharedIntApp.exe
  • vmusrvc.exe
  • vmsrvc.exe

Ezt követően további összetevőket tölt le az alábbi távoli helyek valamelyikéről:

  • 46.183.217.69/ZenKapabilityCompanyA835/Check^Certificate774^forUpdater0$/signature372-9932.php
  • 46.183.217.69/ZenKapabilityCompanyA835/Check^Certificate774^forUpdater0$/signature372-9932.php
  • 46.183.217.69/ZenKapabilityCompanyA835/Check^Certificate774^forUpdater0$/signature372-9932.php
  • 80.255.6.5/LoG-statistic_save_audater1134-15/date-update9048353094c/DbaseUpdaterLog883529-11623.php
  • 80.255.6.5/LoG-statistic8397420934809/date-update9048353094c/StaticIpUpdateLog23741033.php
  • 80.255.6.5/LoG-statistic8399872490934809/date-update9048353094c/DbaseUpdaterLog77720817-01.php
  • [http://]46.183.217.69/MSSQL-certificate-update-cheker/dat^^e007dbase-26/check-up[REMOVED]
  • [http://]46.183.217.69/MSSQL-certificate-update-cheker/dat^^e007dbase-26/check-up[REMOVED]
  • [http://]46.183.217.69/World_update_crt_cheker_new_database27843/date007dbase-1221/check-base-up[REMOVED]
  • [http://]80.255.6.5/daily-update-certifaicates52735462534234/update[REMOVED]
  • [http://]80.255.6.5/daily-update-certificatedkj87654432/snmp-113[REMOVED]
  • [http://]80.255.6.5/daily-update-servicedbase-3321/services-dbase1701[REMOVED]
  • [http://]80.255.6.5/M^S-fsecur1e-service-6643/updateA-checkA-[REMOVED]
  • [http://]93.115.38.132/KiiOppSAXCSaqwe/srvss[REMOVED]
  • [http://]93.115.38.132/SmRQZPYxAR/srvss[REMOVED]

A letöltött file-t az alábbi helyekre menti:

  • %AppData%MicrosoftNetworkHTML Helpsrvsmcl.exe
  • %Temp%dbase.exe
  • %AppData%MicrosoftNetworkSupportAssistansesrvsml.exe
  • %Temp%srvmcc.exe
  • %AppData%MicrosoftNetworkHTML Helpsrvsml.exe
  • %AppData%MicrosoftNetworkConnectionsCertificatesrvscc.exe
  • %Temp%_GUpdater.exe

Majd hozzá kezd az információgyűjtéshez, amelynek eredményét továbbítja a vezérlőszerver felé. Az alábbiakat gyűjti:

  • Process-ek listája
  • Telepített alkalmazások listája.

Megoldás

  • Használjon naprakész vírusírtó szoftvert.
  • Norton Power Eraser (NPE) felismeri és képes eltávolítani a kártevőt.

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2024-57968 – Advantive VeraCore Unrestricted File Upload sebezhetősége
CVE-2025-25181 – Advantive VeraCore SQL Injection sebezhetősége
CVE-2025-22224 – VMware ESXi és Workstation sérülékenysége
CVE-2025-22225 – VMware ESXi sérülékenysége
CVE-2025-22226 – VMware ESXi, Workstation és Fusion sérülékenysége
CVE-2022-43939 – Hitachi Vantara Pentaho BA Server Authorization Bypass sebezhetősége
CVE-2022-43769 – Hitachi Vantara Pentaho BA Server Special Element Injection sebezhetősége
CVE-2024-4885 – Progress WhatsUp Gold Path Traversal sebezhetősége
CVE-2018-8639 – Microsoft Windows Win32k Improper Resource Shutdown or Release sebezhetősége
Tovább a sérülékenységekhez »