Darksun.B

CH azonosító

CH-12502

Angol cím

Darksun.B

Felfedezés dátuma

2015.07.20.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Vista, Windows XP

Összefoglaló

A Darksun.B trójai azon kártékony programok táborát gyarapítja, amelyek jogosulatlan távoli rendszerhozzáférésre adnak módot. Mindezt egy hátsó kapu létrehozásával biztosítja, amelyen keresztül megannyi parancs fogadására képes. Egyebek mellett az alábbi feladatok elvégzésére vehető rá:

  • fájlműveletek
  • szolgáltatásokkal kapcsolatos műveletek
  • folyamatok leállítása, listázása
  • fájlok le-, illetve feltöltése
  • parancssorból kiadható parancsok futtatása.

A Darksun.B további kockázatos jellemzője, hogy képes adatlopáshoz is hozzájárulni. Ezt elsősorban a billentyűleütések folyamatos naplózásával, valamint képernyőképek rendszeres készítésével éri el. Az összegyűjtött adatokat pedig időközönként kiszivárogtatja a terjesztői számára.

Leírás

1. Létrehozza a következő állományokat:
%AllUsersProfile%[a trójai fájlneve].exe
%CurrentFolder%_temp.dat

2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”AudioClient” = “%AllUsersProfile%[a trójai fájlneve].exe”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Cliented” = “%AllUsersProfile%[a trójai fájlneve].exe”

3. Csatlakozik távoli szerverekhez.

4. Nyit egy hátsó kaput.

5. Folyamatosan naplózza a billentyűleütéseket az alábbi fájlba:
%CurrentFolder%_temp.dat

6. Várakozik a támadók parancsaira, amelyeket rögtön végrehajt.

7. Az összegyűjtött adatokat rendszeres időközönként kiszivárogtatja.

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com


Legfrissebb sérülékenységek
CVE-2023-4863 – Google Chrome sérülékenysége
CVE-2023-40186 – FreeRDP sérülékenysége
CVE-2023-20890 – VMware Aria Operations For Networks sérülékenysége
CVE-2023-34039 – VMware Aria Operations for Networks sérülékenysége
CVE-2023-23770 – Motorola MBTS Site Controller sérülékenysége
CVE-2023-38388 – JupiterX Core Premium WordPress Plugin sérülékenysége
CVE-2023-38831 – RARLabs WinRAR sérülékenysége
CVE-2023-38035 – Ivanti Sentry sérülékenysége
CVE-2023-20212 – ClamAV sérülékenysége
CVE-2023-36847 – Juniper Networks Junos OS sérülékenysége
Tovább a sérülékenységekhez »