Infostealer.Boyapki


2014. május 24. 09:55

CH azonosító

CH-11153

Angol cím

Infostealer.Boyapki

Felfedezés dátuma

2014.05.21.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000
Windows 7
Windows 95
Windows 98
Windows Me
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Összefoglaló

A Boyapki trójai két bűnözői csoport tevékenységét segíti elő. Az egyik esetben támogatja az adathalászokat azzal, hogy átirányítást végez banki weboldalak megtekintésekor, ezáltal káros weblapra vezeti a felhasználókat. A másik esetben nyit egy hátsó kaput, ezáltal a külső támadásokkal szemben a fertőzött számítógépeket kiszolgáltatottá teszi.

A Boyapki jelenlegi variánsa kiszemelte a koreai bankok ügyfeleit, semmiféle akadálya nincs technikailag annak, hogy más országok pénzintézeteit vegye célba a Boyapki trójai egy másik variánsa. Ha más ország pénzintézetei kerülnek célba, akkor elsőként a banki adatok, a banki szolgáltatásokhoz tartozó felhasználónevek és jelszavak lesznek veszélyben.

A Boyapki trójai több vezérlőszerverhez kapcsolódik a hátsókapu nyitásakor. A vezérlőszerverekről azokat az utasításokat szerzi be, amelyek szükségesek a feladatai ellátásához. A terjesztői további fájlok letöltésére utasíthatják, frissíteni a vezérlőszerverek címlistáját, valamint a számítógép leállítására.

Leírás

1. Az alábbi állományokat hozza létre:
%Windir%[véletlenszerű karakterek]MUpdate.exe
%Windir%[véletlenszerű karakterek][véletlenszerű karakterek].dll
%System%drivershosts.ics
2. A következő bejegyzést hozzáadja a regisztrációs adatbázishoz:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”CTFM0N” = “%Windir%[véletlenszerű karakterek]MUpdate.exe %Windir%[véletlenszerű karakterek][véletlenszerű karakterek].dll,ALSTS_ExecuteAction”
3. A biztonsági alkalmazásokhoz tartozó folyamatokat leállítja.
4. Letölt egy bankok nevét és webcímét tartalmazó listát egy távoli kiszolgálóról.
5. Az alábbi állományt hozza létre, amivel hálózati átirányításokat hajt végre:
%System%drivershosts.ics
6. Egy NPKI, valamint egy abban megtalálható u.dat fájl után keresve feltérképezi a számítógépről elérhető összes meghajtót. Az állományt feltölti egy távoli szerverre, ha megtalálja.
7. A vezérlőszervereinek eléréséhez szükséges címlistát letölti egy távoli kiszolgálóról.
8. A 8761-es, a 8086-os és a 3666-os portokon keresztül csatlakozik a vezérlőszervereihez.
9. Egy hátsó kaput nyit, és a támadók parancsaira várakozik.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
System access (Rendszer hozzáférés)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2026-24858 – Fortinet Multiple Products Authentication Bypass Using an Alternate Path or Channel sérülékenység
CVE-2026-1448 – D-Link sérülékenysége
CVE-2026-23745 – “node-tar” Library Path Traversal sérülékenység
CVE-2026-21509 – Microsoft Office Security Feature Bypass sérülékenység
CVE-2026-24061 – GNU InetUtils Argument Injection sérülékenység
CVE-2026-23760 – SmarterTools SmarterMail Authentication Bypass Using an Alternate Path or Channel sérülékenység
CVE-2025-52691 – SmarterTools SmarterMail Unrestricted Upload of File with Dangerous Type sérülékenység
CVE-2018-14634 – Linux Kernel Integer Overflow sérülékenység
CVE-2025-54313 – Prettier eslint-config-prettier Embedded Malicious Code sérülékenység
CVE-2025-31125 – Vite Vitejs Improper Access Control sérülékenység
Tovább a sérülékenységekhez »