Infostealer.Hoardy


2013. december 23. 12:26

CH azonosító

CH-10223

Angol cím

Infostealer.Hoardy

Felfedezés dátuma

2013.12.22.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7
Windows Vista
Windows XP

Érintett verziók

Windows 2000, Windows 7, Windows NT, Windows Vista, Windows XP

Összefoglaló

A Hoardy egy trójai kártevő, amely hátsókaput nyit a fertőzött rendszeren, információt lop, valamint további kártékony fájlokat tölthet le.

Leírás

A Hoardy kártékony e-mail csatolmányok útján érkezik.
A következő fájlokat hozza létre:

    %Temp%spoolsv.exe
    %Temp%1.EXE
    %Temp%wuauclt.exe
    %Temp%spoolsv.exe
    %Temp%csrssc.exe
    %Temp%wmiprvse.exe
    %UserProfile%Application DataMicrosoftWindowsrasauto.exe
    C:Documents and SettingsAll UsersStart MenuProgramsStartupsys_log.log
    C:Documents and SettingsAll UsersStart MenuProgramsStartupAdobe Gamma Loader.lnk
    C:Documents and SettingsAll UsersStart MenuProgramsStartupsys_log.log
    C:Documents and SettingsAll UsersStart MenuProgramsStartupOutlook.lnk

Az alábbi registry bejegyzéseket hozza létre:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAIN”DEPOff” = 0x00000001
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”infme” = “”%TEMP%wmiprvse.exe””
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerPhishingFilter”Enabled” = 0x00000001
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerPhishingFilter”ShownVerifyBalloon” = 0x00000003
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain”Check_Associations” = “no”
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain”DisableFirstRunCustomize” = 0x00000002
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain”Start Page” = “about:blank”
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerRecovery”AutoRecover” = 0x00000002
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings”IEHardenIENoWarn” = 0x00000000
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMap”IEHarden” = 0x00000000
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings”WarnOnPostRedirect” = 0x00000000
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings”WarnOnZoneCrossing” = 0x00000000
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3″2500″ = 0x00000003

Miután hátsókaput nyit a fertőzött számítógépen, a következő URL-ek valamelyikéhez próbál csatlakozni:

    [http://]facebookhello.h1x.com/my[REMOVED]
    [http://]www.teleramafr.com
    [http://]site.belgiquede.com

A Hoardy a számítógép nevét és a Windows verzióját továbbítja a támadónak.

A támadótól kapott utasítások alapján parancsokat hajthat végre, illetve további káros tartalmú fájlokat tölthet le és futtathat a fertőzött rendszeren.

Megoldás

Rendszeresen frisítse a víruskereső adatbázisát.

Támadás típusa

Unspecified (Nem részletezett)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2026-20127 – Cisco Catalyst SD-WAN Controller and Manager Authentication Bypass sérülékenység
CVE-2022-20775 – Cisco SD-WAN Path Traversal sérülékenység
CVE-2026-21241 – Windows Ancillary Function Driver for WinSock Elevation of Privilege sérülékenység
CVE-2025-40540 – SolarWinds Serv-U Type Confusion Remote Code Execution sérülékenység
CVE-2025-40539 – SolarWinds Serv-U Type Confusion Remote Code Execution sérülékenysége
CVE-2025-40538 – SolarWinds Serv-U Broken Access Control Remote Code Execution sérülékenysége
CVE-2026-25108 – Soliton Systems K.K FileZen OS Command Injection sérülékenység
CVE-2025-68461 – RoundCube Webmail Cross-site Scripting sérülékenység
CVE-2026-22769 – Dell RecoverPoint for Virtual Machines (RP4VMs) Use of Hard-coded Credentials sérülékenység
CVE-2021-22175 – GitLab Server-Side Request Forgery (SSRF) sérülékenység
Tovább a sérülékenységekhez »