Blinsload.A trójai

CH azonosító

CH-12647

Angol cím

TrojanDownloader:Win32/Blinsload.A

Felfedezés dátuma

2015.09.24.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Blinsload.A trójai jellegzetessége, hogy egy számítógép ostromlásakor általában nem az első hullámban támad. Sokkal inkább az a jellemző, hogy egyéb kártékony programok közreműködésével kerül fel a rendszerekre. Amikor ez megtörténik, akkor létrehoz két fájlt, majd ellenőrzi, hogy van-e élő internetkapcsolat. Amennyiben igen, akkor csatlakozik egy távoli vezérlőszerverhez. Ekkor a károkozó az 53-as porton keresztül próbál kommunikálni. Mivel ez a port az esetek többségében nyitott a tűzfalakon, ezért a trójai szabadon folytathatja a hálózati kommunikációját.

A Blinsload.A különböző folyamatok megfertőzésével próbál rejtve maradni a rendszereken. Ezért a Feladatkezelőben sem látható, amikor éppen a háttérben végzi a nemkívánatos tevékenységeit. A kártevő alkalmas hátsó kapu nyitására, illetve adatszivárogtatásra is.

Leírás

1. Létrehozza a következő fájlokat:
[%ProgramData%][véletlenszerű karakterek]vmapp[véletlenszerű karakterek].exe
[%ProgramData%][véletlenszerű karakterek]host[véletlenszerű karakterek].vbe

2. Ellenőrzi, hogy van-e elő internetkapcsolat.

3. Csatlakozik egy távoli kiszolgálóhoz az 53 porton keresztül.

4. Jelenti a fertőzés megtörténtét.

5. Konfigurációs adatokat tölt le.

6. Végrehajtja a támadók parancsait.

7. Adatokat gyűjt össze, illetve szivárogtat ki.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Windows Defender, Microsoft Security Essentials, Microsoft Safety Scanner.

Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »