EternalRocks/BlueDoom féreg

CH azonosító

CH-14058

Angol cím

EternalRocks/BlueDoom worm

Felfedezés dátuma

2017.05.18.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

Az EternalRocks féreg hét, egykori NSA eszközt egyesít magában (Eternalblue, Eternalchampion, Eternalromance, Eternalsynergy, SMBtouch, Architouch és Doublepulsar), amelyekkel a Windows SMB hibáit használja ki. Jelenleg nem tölt re ransomware, illetve egyéb káros összetevőt, de hátsó kaput nyit, így a számítógépet sérülékennyé teszi jövőbeni támadásokkal szemben.

Leírás

Az SMB-n keresztüli fertőzés után telepíti a TOR-t és azon keresztül jelez a C&C szervernek, ami 24 óra elteltével válaszol.

 

Technikai részletek:

A fő komponens a “taskhost.exe”, 4.6 MB méretű fájl.

A féreg a lent található mappákban létrehozza az alábbi fájlokat:

c:config:
Architouch.inconfig
Doublepulsar.inconfig
Eternalblue.inconfig
Eternalchampion.inconfig
Eternalromance.inconfig
Eternalsynergy.inconfig
Smbtouchv.inconfig

c:payloads:
ReflectivePick_x64.dll
ReflectivePick_x86.dll
x64.shellcode.out
x86.shellcode.out

c:bins:
trfo-0.dll
pcreposix-0.dll
taskmgr.exe
dmgd-4.dll
ssleay32.dll
zlib1.dll
trfo.dll
pcrecpp-0.dll
riar.dll
eteb-2.dll
etchCore-0.x64.dll
tibe.dll
trch-0.dll
etchCore-0.x86.dll
pcla-0.dll
ucl.dll
riar-2.dll
posh.dll
pcre-0.dll
winlogon.exe
cnli-1.dll
crli-0.dll
posh-0.dll
msdtc.exe
iconv.dll
wmiprvse.exe
zibe.dll
lsass.exe
etch-0.dll
libiconv-2.dll
adfw-2.dll
trfo-2.dll
xdvl-0.dll
cnli-0.dll
exma.dll
etebCore-2.x86.dll
coli-0.dll
csrss.exe
etebCore-2.x64.dll
adfw.dll
trch.dll
tucl-1.dll
tibe-2.dll
spooler.exe
dmgd-1.dll
trch-1.dll
tucl.dll
libeay32.dll
tibe-1.dll
libxml2.dll
libcurl.dll
esco-0.dll

Megoldás

Amennyiben lehetséges, a régebbi Windows verziókat cserélje le a legújabb verziókra.
Telepítse az összes javítást.

Hivatkozások

Egyéb referencia: github.com
Egyéb referencia: www.bleepingcomputer.com
Egyéb referencia: heimdalsecurity.com
Egyéb referencia: fossbytes.com