Azbot trójai

CH azonosító

CH-11865

Angol cím

Backdoor.IRC.Azbot

Felfedezés dátuma

2014.12.10.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7
Windows Vista
Windows XP

Érintett verziók

Microsoft

Összefoglaló

Az Azbot trójai egy régóta alkalmazott technikát használ fel arra, hogy kiszolgáltatottá tegye az általa megfertőzött számítógépeket. A károkozó ugyanis az IRC adta lehetőségek kiaknázása mellett nyit egy hátsó kaput, majd az így létrejövő “kommunikációs csatornán” keresztül fogadja a terjesztői által kiadott parancsokat.

Ezek a következők lehetnek:
– programok elindítása
– fájlműveletek
– a billentyűleütések naplózása
– IRC parancsok végrehajtása
– a trójai leállítása.

Az Azbot mindössze két fájlt hoz létre a Windows egyik rendszerkönyvtárában. Az egyik vga.exe néven kerül fel a számítógépre, míg a másik egy ActiveX vezérlőhöz tartozik. Ennek köszönhetően a trójai manuális eltávolítása sem különösebben nehéz feladat.

Leírás

1. Létrehozza a következő állományokat:
%System%/vga.exe
%System%/mswinsck.ocx
2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”VideoDriver” = “%SYSTEM%vga.exe”
3. Csatlakozik egy távoli kiszolgálóhoz a 7777-es porton keresztül.
4. Nyit egy hátsó kaput.
5. IRC-n keresztül fogadja a vírusterjesztők parancsait, amelyeket rögtön végre is hajt.


Legfrissebb sérülékenységek
CVE-2023-4863 – Google Chrome sérülékenysége
CVE-2023-40186 – FreeRDP sérülékenysége
CVE-2023-20890 – VMware Aria Operations For Networks sérülékenysége
CVE-2023-34039 – VMware Aria Operations for Networks sérülékenysége
CVE-2023-23770 – Motorola MBTS Site Controller sérülékenysége
CVE-2023-38388 – JupiterX Core Premium WordPress Plugin sérülékenysége
CVE-2023-38831 – RARLabs WinRAR sérülékenysége
CVE-2023-38035 – Ivanti Sentry sérülékenysége
CVE-2023-20212 – ClamAV sérülékenysége
CVE-2023-36847 – Juniper Networks Junos OS sérülékenysége
Tovább a sérülékenységekhez »