Beginto Trójai

CH azonosító

CH-11760

Angol cím

Beginto Trojan

Felfedezés dátuma

2014.10.28.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7
Windows Server 2008
Windows Vista
Windows XP

Érintett verziók

Windows 7,
Windows Server 2008,
Windows Vista,
Windows XP

Összefoglaló

A Beginto trójai egy Java alapú kártékony program.

Leírás

A Beginto trójai egy Java alapú kártékony program, amely alapvetően két fájlból épül fel. Tartozik hozzá egy HTML állomány, amelynek kettős szerepe van. Egyrészt segít a trójai JAR fájljának betöltésében, másrészt kódoltan tartalmazza azt a shell kódot, amelyet a károkozó felhasznál a feladatainak ellátása során. Ennek a kódnak a dekódolását már a JAR fájl végzi.
A Beginto a 7998-as TCP porton keresztül kapcsolódik egy előre meghatározott kiszolgálóhoz, amelyről parancsokat fogad. Eközben mindvégig egy notepad.exe folyamat mögött rejtőzik.
A Beginto további fontos jellemzője, hogy a károkozásokhoz használt kódjait rendszeresen tudja frissíteni, így a képességei tovább bővülhetnek.                  

Technikai részletek:

1. A HTML fájljának segítségével betöltődik a JAR állománya.

2. A HTML állományban található shell kódot dekódolja (Base64).

3. Betölti az alábbi két DLL-fájlt:

  • main.dll
  • main64.dll

4. Létrehoz egy notepad.exe folyamatot, amelyet megfertőz a shell kóddal.

5. Csatlakozik egy távoli kiszolgálóhoz a 7998-as TCP porton keresztül.

6. Nyit egy hátsó kaput.

7. Esetenként újabb shell kódokat tölt le, és használ fel.            

Megoldás

Frissítse a vírusírtó programot.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »