Hesperbot.B trójai


2014. január 29. 10:36

CH azonosító

CH-10448

Angol cím

TrojanDropper:Win32/Hesperbot.B

Felfedezés dátuma

2014.01.22.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7

Érintett verziók

Windows 2000
Windows 7
Windows 95
Windows 98
Windows Me
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Összefoglaló

A Hesperbot.B egy olyan trójai, mely főként Európában próbálja ellopni a felhasználók banki jelszavait, a káros szoftver segítségével a támadók hozzáférhetnek a felhasználó PC-jéhez is. A malware főként levélszemét e-mail pdf mellékletéként terjed.

Leírás

Az alábbi fájlokat telepíti a káros szoftver:

  • <commonappdata> <random characters><random characters>.bkp 
  • <commonappdata> <random characters><random characters>.dat
  • <commonappdata> sun<random characters>.dat
  • <commonappdata> sun<random characters>.bkp

Az alábbi – a számítógéphez kapcsolódó – titkosított információkat tartalmazzák a telepített fájlok:

  • A rendszer telepítés dátuma
  • Machine GUID
  • Digitális termékazonosító
  • Számítógép neve
  • Processzor adatai

A Hesperbot.B az alábbi mutexet hozza létre, melyek megléte a fertőzöttségre utalhat:

  • Global<random characters>.mutex
  • Globallock_<random characters>
  • Globalinst_<random characters> 

A malware regisztrációs adatbázisban az alábbi módosításokat hajtja végre, annak érdekében, hogy a Windows indulásakor mindig elinduljon a káros szoftver is:

Alkulcs: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

Adat: <random key>=”%windir%<random characters><random name>.exe”

Hesperbot.B működésének központi eleme, hogy befecskendezi magát az újonnan létrehozott attrib.exe majd az explorer.exe folyamatokba. Ez az összetevő biztosítja a malware káros működését.

Hesperbot.B naplózhatja a felhasználó billenyűleütéseit, a naplózott információ tárolása céljából létrehoz egy keylog.txt fájlt.

Később továbbítás céljából az elkészült fájlt a keylog.7z-be tömöríti.

A malware működő internetkapcsolat ellenőrzése céljából az alábbi oldalakhoz kapcsolódik:

  • yahoo.com
  • facebook.com
  • google.com
  • wikipedia.org
  • microsoft.com

Ha talál működő internetkapcsolatot, akkor az alábbi szerverhez kapcsolódik:

  • dnshosting1.ws

Kapcsolódhat továbbá domain generáló algoritmus által véletlenszerűen létrehozott címhez is.

Megoldás

Használjon vírusírtót és tűzfalat, illetve időnként frissítse azokat.

Támadás típusa

Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Other (Egyéb)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.microsoft.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »