Infostealer.Boyapki


2014. május 24. 09:55

CH azonosító

CH-11153

Angol cím

Infostealer.Boyapki

Felfedezés dátuma

2014.05.21.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000
Windows 7
Windows 95
Windows 98
Windows Me
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Összefoglaló

A Boyapki trójai két bűnözői csoport tevékenységét segíti elő. Az egyik esetben támogatja az adathalászokat azzal, hogy átirányítást végez banki weboldalak megtekintésekor, ezáltal káros weblapra vezeti a felhasználókat. A másik esetben nyit egy hátsó kaput, ezáltal a külső támadásokkal szemben a fertőzött számítógépeket kiszolgáltatottá teszi.

A Boyapki jelenlegi variánsa kiszemelte a koreai bankok ügyfeleit, semmiféle akadálya nincs technikailag annak, hogy más országok pénzintézeteit vegye célba a Boyapki trójai egy másik variánsa. Ha más ország pénzintézetei kerülnek célba, akkor elsőként a banki adatok, a banki szolgáltatásokhoz tartozó felhasználónevek és jelszavak lesznek veszélyben.

A Boyapki trójai több vezérlőszerverhez kapcsolódik a hátsókapu nyitásakor. A vezérlőszerverekről azokat az utasításokat szerzi be, amelyek szükségesek a feladatai ellátásához. A terjesztői további fájlok letöltésére utasíthatják, frissíteni a vezérlőszerverek címlistáját, valamint a számítógép leállítására.

Leírás

1. Az alábbi állományokat hozza létre:
%Windir%[véletlenszerű karakterek]MUpdate.exe
%Windir%[véletlenszerű karakterek][véletlenszerű karakterek].dll
%System%drivershosts.ics
2. A következő bejegyzést hozzáadja a regisztrációs adatbázishoz:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”CTFM0N” = “%Windir%[véletlenszerű karakterek]MUpdate.exe %Windir%[véletlenszerű karakterek][véletlenszerű karakterek].dll,ALSTS_ExecuteAction”
3. A biztonsági alkalmazásokhoz tartozó folyamatokat leállítja.
4. Letölt egy bankok nevét és webcímét tartalmazó listát egy távoli kiszolgálóról.
5. Az alábbi állományt hozza létre, amivel hálózati átirányításokat hajt végre:
%System%drivershosts.ics
6. Egy NPKI, valamint egy abban megtalálható u.dat fájl után keresve feltérképezi a számítógépről elérhető összes meghajtót. Az állományt feltölti egy távoli szerverre, ha megtalálja.
7. A vezérlőszervereinek eléréséhez szükséges címlistát letölti egy távoli kiszolgálóról.
8. A 8761-es, a 8086-os és a 3666-os portokon keresztül csatlakozik a vezérlőszervereihez.
9. Egy hátsó kaput nyit, és a támadók parancsaira várakozik.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
System access (Rendszer hozzáférés)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2025-40536 – SolarWinds Web Help Desk Security Control Bypass sérülékenység
CVE-2025-15556 – Notepad++ Download of Code Without Integrity Check sérülékenység
CVE-2024-43468 – Microsoft Configuration Manager SQL Injection sérülékenység
CVE-2026-20700 – Apple Multiple Buffer Overflow sebezhetőség
CVE-2026-21514 – Microsoft Office Word Reliance on Untrusted Inputs in a Security Decision sérülékenység
CVE-2026-21519 – Microsoft Windows Type Confusion sérülékenység
CVE-2026-21533 – Microsoft Windows Improper Privilege Management sérülékenység
CVE-2026-21510 – Microsoft Windows Shell Protection Mechanism Failure sérülékenység
CVE-2026-21525 – Microsoft Windows NULL Pointer Dereference sérülékenység
CVE-2026-21513 – Microsoft MSHTML Framework Protection Mechanism Failure sérülékenység
Tovább a sérülékenységekhez »