Backdoor: BKDR_PERCS.A

CH azonosító

CH-11547

Angol cím

BKDR_PERCS.A

Felfedezés dátuma

2014.08.13.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

Összefoglaló

Ez a malware összefügg egy támadással, amely a Google Drive and Dropbox óvatlan felhasználói után kutatott.

A kártékony szoftver egy hátsó kaput nyit, így információkat küld a támadónak a fertőzött számítógépről.

Leírás

A backdoor egy kártékony kódot futtató weboldalról a felhasználó tudta nélkül töltődik le.

A program bemásolja magát a következő helyre: %Application Data%scvperc.exe

Létrehozza a következő regisztrációs bejegyzést annak érdekében, hogy automatikusan indulhasson a bejelentkezést követően:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun scvperc = “%Application Data%scvperc.exe”

A program a következő feladatokat képes elvégezni:

  • Letölt és futtat tetszőleges állományt a %User Temp% helyen.
  • Távoli parancssort biztosít
  • Meghajtó információkat szerez

Kapcsolódik a következő weboldalakhoz annak érdekében, hogy fogadjon és küldjön információkat: BLOCKED}i.{BLOCKED}2.com:32040

Bemásolja a következő fájlt, ami a felhasználó billentyűzet leütéseit figyeli: %Application Data%Logs{date-month-year} – encrypted

A szoftver megpróbálja ellopni a tárolt e-mail hitelesítő adatokat az alábbi szoftverektől:

  • Windows Live
  • Mozilla Thunderbird
  • Outlook

Megpróbálja a tárolt adatokat ellopni, mint pl. felhasználónevek, jelszavak, és számítógépnevek az alábbi böngészőkből:

  • Mozilla Firefox
  • Opera
  • Internet Explorer
  • Google Chrome
  • Chromium

Ezen felül naplózza a felhasználó billentyűzet leütéseit hogy további információt lopjon.

Megoldás

Víruskereső frissítése.


Legfrissebb sérülékenységek
CVE-2023-4863 – Google Chrome sérülékenysége
CVE-2023-40186 – FreeRDP sérülékenysége
CVE-2023-20890 – VMware Aria Operations For Networks sérülékenysége
CVE-2023-34039 – VMware Aria Operations for Networks sérülékenysége
CVE-2023-23770 – Motorola MBTS Site Controller sérülékenysége
CVE-2023-38388 – JupiterX Core Premium WordPress Plugin sérülékenysége
CVE-2023-38831 – RARLabs WinRAR sérülékenysége
CVE-2023-38035 – Ivanti Sentry sérülékenysége
CVE-2023-20212 – ClamAV sérülékenysége
CVE-2023-36847 – Juniper Networks Junos OS sérülékenysége
Tovább a sérülékenységekhez »