Hesperbot.B trójai


2014. január 29. 10:36

CH azonosító

CH-10448

Angol cím

TrojanDropper:Win32/Hesperbot.B

Felfedezés dátuma

2014.01.22.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7

Érintett verziók

Windows 2000
Windows 7
Windows 95
Windows 98
Windows Me
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Összefoglaló

A Hesperbot.B egy olyan trójai, mely főként Európában próbálja ellopni a felhasználók banki jelszavait, a káros szoftver segítségével a támadók hozzáférhetnek a felhasználó PC-jéhez is. A malware főként levélszemét e-mail pdf mellékletéként terjed.

Leírás

Az alábbi fájlokat telepíti a káros szoftver:

  • <commonappdata> <random characters><random characters>.bkp 
  • <commonappdata> <random characters><random characters>.dat
  • <commonappdata> sun<random characters>.dat
  • <commonappdata> sun<random characters>.bkp

Az alábbi – a számítógéphez kapcsolódó – titkosított információkat tartalmazzák a telepített fájlok:

  • A rendszer telepítés dátuma
  • Machine GUID
  • Digitális termékazonosító
  • Számítógép neve
  • Processzor adatai

A Hesperbot.B az alábbi mutexet hozza létre, melyek megléte a fertőzöttségre utalhat:

  • Global<random characters>.mutex
  • Globallock_<random characters>
  • Globalinst_<random characters> 

A malware regisztrációs adatbázisban az alábbi módosításokat hajtja végre, annak érdekében, hogy a Windows indulásakor mindig elinduljon a káros szoftver is:

Alkulcs: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

Adat: <random key>=”%windir%<random characters><random name>.exe”

Hesperbot.B működésének központi eleme, hogy befecskendezi magát az újonnan létrehozott attrib.exe majd az explorer.exe folyamatokba. Ez az összetevő biztosítja a malware káros működését.

Hesperbot.B naplózhatja a felhasználó billenyűleütéseit, a naplózott információ tárolása céljából létrehoz egy keylog.txt fájlt.

Később továbbítás céljából az elkészült fájlt a keylog.7z-be tömöríti.

A malware működő internetkapcsolat ellenőrzése céljából az alábbi oldalakhoz kapcsolódik:

  • yahoo.com
  • facebook.com
  • google.com
  • wikipedia.org
  • microsoft.com

Ha talál működő internetkapcsolatot, akkor az alábbi szerverhez kapcsolódik:

  • dnshosting1.ws

Kapcsolódhat továbbá domain generáló algoritmus által véletlenszerűen létrehozott címhez is.

Megoldás

Használjon vírusírtót és tűzfalat, illetve időnként frissítse azokat.

Támadás típusa

Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Other (Egyéb)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.microsoft.com

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »