Backdoor: BKDR_PERCS.A

CH azonosító

CH-11547

Angol cím

BKDR_PERCS.A

Felfedezés dátuma

2014.08.13.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

Összefoglaló

Ez a malware összefügg egy támadással, amely a Google Drive and Dropbox óvatlan felhasználói után kutatott.

A kártékony szoftver egy hátsó kaput nyit, így információkat küld a támadónak a fertőzött számítógépről.

Leírás

A backdoor egy kártékony kódot futtató weboldalról a felhasználó tudta nélkül töltődik le.

A program bemásolja magát a következő helyre: %Application Data%scvperc.exe

Létrehozza a következő regisztrációs bejegyzést annak érdekében, hogy automatikusan indulhasson a bejelentkezést követően:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun scvperc = “%Application Data%scvperc.exe”

A program a következő feladatokat képes elvégezni:

  • Letölt és futtat tetszőleges állományt a %User Temp% helyen.
  • Távoli parancssort biztosít
  • Meghajtó információkat szerez

Kapcsolódik a következő weboldalakhoz annak érdekében, hogy fogadjon és küldjön információkat: BLOCKED}i.{BLOCKED}2.com:32040

Bemásolja a következő fájlt, ami a felhasználó billentyűzet leütéseit figyeli: %Application Data%Logs{date-month-year} – encrypted

A szoftver megpróbálja ellopni a tárolt e-mail hitelesítő adatokat az alábbi szoftverektől:

  • Windows Live
  • Mozilla Thunderbird
  • Outlook

Megpróbálja a tárolt adatokat ellopni, mint pl. felhasználónevek, jelszavak, és számítógépnevek az alábbi böngészőkből:

  • Mozilla Firefox
  • Opera
  • Internet Explorer
  • Google Chrome
  • Chromium

Ezen felül naplózza a felhasználó billentyűzet leütéseit hogy további információt lopjon.

Megoldás

Víruskereső frissítése.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-4632 – Samsung MagicINFO 9 Server Path Traversal sérülékenysége
CVE-2023-38950 – ZKTeco BioTime Path Traversal sérülékenysége
CVE-2025-27920 – Srimax Output Messenger Directory Traversal sérülékenysége
CVE-2025-4428 – Ivanti Endpoint Manager Mobile (EPMM) Code Injection sérülékenysége
CVE-2025-4427 – Ivanti Endpoint Manager Mobile (EPMM) Authentication Bypass sérülékenysége
CVE-2024-27443 – Synacor Zimbra Collaboration Suite (ZCS) Cross-Site Scripting (XSS) sérülékenysége
CVE-2024-11182 – MDaemon Email Server Cross-Site Scripting (XSS) sérülékenysége
CVE-2025-42999 – SAP NetWeaver Deserialization sérülékenysége
CVE-2024-12987 – DrayTek Vigor Routers OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »