Infostealer.Ragua trójai


2014. augusztus 21. 06:51

CH azonosító

CH-11537

Angol cím

Infostealer.Ragua

Felfedezés dátuma

2014.08.19.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Vista, Windows XP

Összefoglaló

Infostealer.Ragua egy olyan trójai, amely ellopja az információt a fertőzött számítógépről.

Leírás

Amikor a trójai létrejön, a következő bejegyzést hozza létre: 
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Menetrend TaskCache fa Microsoft_up

A trójai létrehozza a következő mappákat:

  • % UserProfile% Local Settings Temp RarSFX0
  • % UserProfile% Application Data Roaming Bin Descargas
  • % UserProfile% Application Data Roaming Bin Encryp
  • % UserProfile% Application Data Roaming Bin Geo
  • % UserProfile% Application Data Roaming Bin HDD
  • % UserProfile% Application Data Roaming Bin Jre6
  • % UserProfile% Application Data Roaming java
  • % UserProfile% Application Data Roaming MicroDes

A trójai létrehozza az alábbi fájlokat: 

  • % UserProfile% Local Settings Temp RarSFX0 bz2.pyd
  • % UserProfile% Local Settings Temp RarSFX0 caso.txt
  • % UserProfile% Local Settings Temp RarSFX0 Crypto.Cipher.AES.pyd
  • % UserProfile% Local Settings Temp RarSFX0 java.exe
  • % UserProfile% Local Settings Temp RarSFX0 JavaD.exe
  • % UserProfile% Local Settings Temp RarSFX0 JavaH.exe
  • % UserProfile% Local Settings Temp RarSFX0 Javak.exe
  • % UserProfile% Local Settings Temp RarSFX0 JavaS.exe
  • % UserProfile% Local Settings Temp RarSFX0 javaTM.exe
  • % UserProfile% Local Settings Temp RarSFX0 JavaUe.exe
  • % UserProfile% Local Settings Temp RarSFX0 PIL._imaging.pyd
  • % UserProfile% Local Settings Temp RarSFX0 PIL._imagingft.pyd
  • % UserProfile% Local Settings Temp RarSFX0 pyexpat.pyd
  • % UserProfile% Local Settings Temp RarSFX0 pyHook._cpyHook.pyd
  • % UserProfile% Local Settings Temp RarSFX0 python27.dll
  • % UserProfile% Local Settings Temp RarSFX0 pythoncom27.dll
  • % UserProfile% Local Settings Temp RarSFX0 pywintypes27.dll
  • % UserProfile% Local Settings Temp RarSFX0 ruta.txt
  • % UserProfile% Local Settings Temp RarSFX0 select.pyd
  • % UserProfile% Local Settings Temp RarSFX0 UJavap.exe
  • % UserProfile% Local Settings Temp RarSFX0 ver
  • % UserProfile% Local Settings Temp RarSFX0 vidcap.pyd
  • % UserProfile% Local Settings Temp RarSFX0 w9xpopen.exe
  • % UserProfile% Local Settings Temp RarSFX0 win32api.pyd
  • % UserProfile% Local Settings Temp RarSFX0 win32clipboard.pyd
  • % UserProfile% Local Settings Temp RarSFX0 win32file.pyd
  • % UserProfile% Local Settings Temp RarSFX0 win32gui.pyd
  • % UserProfile% Local Settings Temp RarSFX0 win32pdh.pyd
  • % UserProfile% Local Settings Temp RarSFX0 win32ui.pyd
  • % UserProfile% Local Settings Temp RarSFX0 _ctypes.pyd
  • % UserProfile% Local Settings Temp RarSFX0 _hashlib.pyd
  • % UserProfile% Local Settings Temp RarSFX0 _multiprocessing.pyd
  • % UserProfile% Local Settings Temp RarSFX0 _portaudio.pyd
  • % UserProfile% Local Settings Temp RarSFX0 _socket.pyd
  • % UserProfile% Local Settings Temp RarSFX0 _ssl.pyd
  • % UserProfile% Local Settings Temp RarSFX0 _win32sysloader.pyd
  • % UserProfile% Application Data Roaming Microsoft Windows Start Menu Programs Startup Java Update.lnk
  • % UserProfile% Application Data Roaming Bin Jre6 bz2.pyd
  • % UserProfile% Application Data Roaming Bin Jre6 caso.txt
  • % UserProfile% Application Data Roaming Bin Jre6 Crypto.Cipher.AES.pyd
  • % UserProfile% Application Data Roaming Bin Jre6 dátum
  • % UserProfile% Application Data Roaming Bin Jre6 java.exe
  • % UserProfile% Application Data Roaming Bin Jre6 JavaD.exe
  • % UserProfile% Application Data Roaming Bin Jre6 JavaH.exe
  • % UserProfile% Application Data Roaming Bin Jre6 Javak.exe
  • % UserProfile% Application Data Roaming Bin Jre6 JavaS.exe
  • % UserProfile% Application Data Roaming Bin Jre6 javaTM.exe
  • % UserProfile% Application Data Roaming Bin Jre6 JavaUe.exe
  • % UserProfile% Application Data Roaming Bin Jre6 ON.txt
  • % UserProfile% Application Data Roaming Bin Jre6 PIL._imaging.pyd
  • % UserProfile% Application Data Roaming Bin Jre6 PIL._imagingft.pyd
  • % UserProfile% Application Data Roaming Bin Jre6 pyexpat.pyd
  • % UserProfile% Application Data Roaming Bin Jre6 pyHook._cpyHook.pyd
  • % UserProfile% Application Data Roaming Bin Jre6 python27.dll
  • % UserProfile% Application Data Roaming Bin Jre6 pythoncom27.dll
  • % UserProfile% Application Data Roaming Bin Jre6 pywintypes27.dll
  • % UserProfile% Application Data Roaming Bin Jre6 ruta.txt
  • % UserProfile% Application Data Roaming Bin Jre6 select.pyd
  • % UserProfile% Application Data Roaming Bin Jre6 UJavap.exe
  • % UserProfile% Application Data Roaming Bin Jre6 ver
  • % UserProfile% Application Data Roaming Bin Jre6 vidcap.pyd
  • % UserProfile% Application Data Roaming Bin Jre6 w9xpopen.exe
  • % UserProfile% Application Data Roaming Bin Jre6 win32api.pyd
  • % UserProfile% Application Data Roaming Bin Jre6 win32clipboard.pyd
  • % UserProfile% Application Data Roaming Bin Jre6 win32file.pyd
  • % UserProfile% Application Data Roaming Bin Jre6 win32gui.pyd
  • % UserProfile% Application Data Roaming Bin Jre6 win32pdh.pyd
  • % UserProfile% Application Data Roaming Bin Jre6 win32ui.pyd
  • % UserProfile% Application Data Roaming Bin Jre6 _ctypes.pyd
  • % UserProfile% Application Data Roaming Bin Jre6 _hashlib.pyd
  • % UserProfile% Application Data Roaming Bin Jre6 _multiprocessing.pyd
  • % UserProfile% Application Data Roaming Bin Jre6 _portaudio.pyd
  • % UserProfile% Application Data Roaming Bin Jre6 _socket.pyd
  • % UserProfile% Application Data Roaming Bin Jre6 _ssl.pyd
  • % UserProfile% Application Data Roaming Bin Jre6 _win32sysloader.pyd
  • % UserProfile% Application Data Roaming MicroDes bz2.pyd
  • % UserProfile% Application Data Roaming MicroDes caso.txt
  • % UserProfile% Application Data Roaming MicroDes Crypto.Cipher.AES.pyd
  • % UserProfile% Application Data Roaming MicroDes java.exe
  • % UserProfile% Application Data Roaming MicroDes JavaD.exe
  • % UserProfile% Application Data Roaming MicroDes JavaH.exe
  • % UserProfile% Application Data Roaming MicroDes Javak.exe
  • % UserProfile% Application Data Roaming MicroDes JavaS.exe
  • % UserProfile% Application Data Roaming MicroDes javaTM.exe
  • % UserProfile% Application Data Roaming MicroDes JavaUe.exe
  • % UserProfile% Application Data Roaming MicroDes PIL._imaging.pyd
  • % UserProfile% Application Data Roaming MicroDes PIL._imagingft.pyd
  • % UserProfile% Application Data Roaming MicroDes pyexpat.pyd
  • % UserProfile% Application Data Roaming MicroDes pyHook._cpyHook.pyd
  • % UserProfile% Application Data Roaming MicroDes python27.dll
  • % UserProfile% Application Data Roaming MicroDes pythoncom27.dll
  • % UserProfile% Application Data Roaming MicroDes pywintypes27.dll
  • % UserProfile% Application Data Roaming MicroDes ruta.txt
  • % UserProfile% Application Data Roaming MicroDes select.pyd
  • % UserProfile% Application Data Roaming MicroDes UJavap.exe
  • % UserProfile% Application Data Roaming MicroDes ver
  • % UserProfile% Application Data Roaming MicroDes vidcap.pyd
  • % UserProfile% Application Data Roaming MicroDes w9xpopen.exe
  • % UserProfile% Application Data Roaming MicroDes win32api.pyd
  • % UserProfile% Application Data Roaming MicroDes win32clipboard.pyd
  • % UserProfile% Application Data Roaming MicroDes win32file.pyd
  • % UserProfile% Application Data Roaming MicroDes win32gui.pyd
  • % UserProfile% Application Data Roaming MicroDes win32pdh.pyd
  • % UserProfile% Application Data Roaming MicroDes win32ui.pyd
  • % UserProfile% Application Data Roaming MicroDes _ctypes.pyd
  • % UserProfile% Application Data Roaming MicroDes _hashlib.pyd
  • % UserProfile% Application Data Roaming MicroDes _multiprocessing.pyd
  • % UserProfile% Application Data Roaming MicroDes _portaudio.pyd
  • % UserProfile% Application Data Roaming MicroDes _socket.pyd
  • % UserProfile% Application Data Roaming MicroDes _ssl.pyd
  • % UserProfile% Application Data Roaming MicroDes _win32sysloader.pyd
  • % System% Tasks Microsoft_up

A trójai a következő műveleteket hajtja végre:

  • Naplózza a billentyűleütéseket
  • Lementi a képernyő tartalmakat
  • Videofelvételt készít a csatolt webkameráról
  • Hangfelvételt készít a csatlakoztatott mikrofonról

A trójai kapcsolatba léphet a következő szerverrel: 
[http: //] java.serveblog.net

  

Megoldás

Windows Defender és a vírusírtók naprakészen tartása.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »