Bedep trójai

CH azonosító

CH-11924

Angol cím

Win32/Bedep

Felfedezés dátuma

2015.01.11.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A Bedep trójai az Angler Exploit Kit nevű támadóeszközt használja fel a céljai eléréséhez. Ezáltal különféle biztonsági rések kihasználására válik alkalmassá. Fontos jellemzője, hogy a számára kijelölt feladatokat 32 és 64 bites Windows operációs rendszerek alatt is képes elvégezni.
A Bedep minden állományát véletlenszerűen nevezi el, és egy explorer.exe nevű folyamat mögül végzi a tevékenységét. A legkockázatosabb jellemzője, hogy további hírhedt kártékony programokat képes feljuttatni és feltelepíteni a már amúgy is fertőzött rendszerekre.
A Bedep képes a saját állományainak rendszeres frissítésére, így a funkcionalitása folyamatosan bővülhet.

Leírás

1. Létrehozza a következő állományt:
%ProgramData%<[…]>[véletlenszerű karakterek].dll
2. A regisztrációs adatbázist kiegészíti az alábbi bejegyzésekkel:
HKCRCLSID{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}InprocServer32ThreadingModel=ThreadingModel
HKCRCLSID{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}InprocServer32(Default)=%ProgramData%<[…]>[véletlenszerű karakterek].dll
3. Elindít egy explorer.exe folyamatot, és megfertőzi azt.
4. Kapcsolódik egy távoli szerverhez a 443-as TCP porton keresztül.
5. További kártékony programokat tölt le. Ezek között megtalálhatóak lehetnek az alábbi károkozók is:
Dofoil
Ursnif
Zemot
6. A letöltött programokat feltelepíti.
7. Rendszerinformációkat gyűjt össze.