Hesperbot.B trójai


2014. január 29. 10:36

CH azonosító

CH-10448

Angol cím

TrojanDropper:Win32/Hesperbot.B

Felfedezés dátuma

2014.01.22.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7

Érintett verziók

Windows 2000
Windows 7
Windows 95
Windows 98
Windows Me
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Összefoglaló

A Hesperbot.B egy olyan trójai, mely főként Európában próbálja ellopni a felhasználók banki jelszavait, a káros szoftver segítségével a támadók hozzáférhetnek a felhasználó PC-jéhez is. A malware főként levélszemét e-mail pdf mellékletéként terjed.

Leírás

Az alábbi fájlokat telepíti a káros szoftver:

  • <commonappdata> <random characters><random characters>.bkp 
  • <commonappdata> <random characters><random characters>.dat
  • <commonappdata> sun<random characters>.dat
  • <commonappdata> sun<random characters>.bkp

Az alábbi – a számítógéphez kapcsolódó – titkosított információkat tartalmazzák a telepített fájlok:

  • A rendszer telepítés dátuma
  • Machine GUID
  • Digitális termékazonosító
  • Számítógép neve
  • Processzor adatai

A Hesperbot.B az alábbi mutexet hozza létre, melyek megléte a fertőzöttségre utalhat:

  • Global<random characters>.mutex
  • Globallock_<random characters>
  • Globalinst_<random characters> 

A malware regisztrációs adatbázisban az alábbi módosításokat hajtja végre, annak érdekében, hogy a Windows indulásakor mindig elinduljon a káros szoftver is:

Alkulcs: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

Adat: <random key>=”%windir%<random characters><random name>.exe”

Hesperbot.B működésének központi eleme, hogy befecskendezi magát az újonnan létrehozott attrib.exe majd az explorer.exe folyamatokba. Ez az összetevő biztosítja a malware káros működését.

Hesperbot.B naplózhatja a felhasználó billenyűleütéseit, a naplózott információ tárolása céljából létrehoz egy keylog.txt fájlt.

Később továbbítás céljából az elkészült fájlt a keylog.7z-be tömöríti.

A malware működő internetkapcsolat ellenőrzése céljából az alábbi oldalakhoz kapcsolódik:

  • yahoo.com
  • facebook.com
  • google.com
  • wikipedia.org
  • microsoft.com

Ha talál működő internetkapcsolatot, akkor az alábbi szerverhez kapcsolódik:

  • dnshosting1.ws

Kapcsolódhat továbbá domain generáló algoritmus által véletlenszerűen létrehozott címhez is.

Megoldás

Használjon vírusírtót és tűzfalat, illetve időnként frissítse azokat.

Támadás típusa

Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Other (Egyéb)
System access (Rendszer hozzáférés)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.microsoft.com

Legfrissebb sérülékenységek
CVE-2025-40602 – SonicWall SMA1000 Missing Authorization sérülékenysége
CVE-2025-59374 – ASUS Live Update Embedded Malicious Code sérülékenysége
CVE-2025-20393 – Cisco Multiple Products Improper Input Validation sérülékenysége
CVE-2025-58360 – OSGeo GeoServer Improper Restriction of XML External Entity Reference sérülékenysége
CVE-2018-4063 – Sierra Wireless AirLink ALEOS Unrestricted Upload of File with Dangerous Type sérülékenysége
CVE-2025-14174 – Google Chromium Out of Bounds Memory Access sérülékenysége
CVE-2025-14611 – Gladinet CentreStack and Triofox Hard Coded Cryptographic sérülékenysége
CVE-2025-43529 – Apple Multiple Products Use-After-Free WebKit sérülékenysége
CVE-2025-21621 – GeoServer Reflected Cross-Site Scripting (XSS) sérülékenység
CVE-2025-64471 – Fortinet FortiWeb sérülékenysége
Tovább a sérülékenységekhez »