Kegotip trójai


2015. február 27. 10:40

CH azonosító

CH-12032

Angol cím

Kegotip trojan

Felfedezés dátuma

2015.02.26.

Súlyosság

Alacsony

Érintett rendszerek

Windows

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Kegotip trójai véletlenszerű fájlnevekkel ellátott állományok kíséretében kerülhet fel a számítógépekre. Amikor ez megtörténik, akkor módosítja a regisztrációs adatbázist, és rögtön nekilát az adatgyűjtéshez.

A Kegotip gyakran használt alkalmazások által tárolt adatokat próbál ellopni. Elsősorban FTP-szerverekhez tartozó hozzáférési adatokat (felhasználóneveket, jelszavakat) igyekszik összegyűjteni, de olyan jól ismert alkalmazásokat is átvizsgál, mint amilyen például a FileZilla vagy a Total Commander, illetve tevékenységével e-mail címeket is képes megszerezni.

A trójai az általa összegyűjtött adatokat egy előre meghatározott távoli kiszolgálóra tölti fel.

Leírás

1. Létrehozza a következő állományokat:

  • %Temp%MSWQ[véletlenszerű karakterek].tmp
  • %UserProfile%dotrudtegibd.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:

  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParameters FirewallPolicyStandardProfileAuthorizedApplicationsList”C:WINDOWSsystem32″ svchost.exe” = “%System%svchost.exe:*:Enabled:Microsoft Office”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion”VendorId” = “[…]”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”dotrudtegibd” = “%UserProfile%dotrudtegibd.exe”
  • HKEY_CURRENT_USERSoftwareStqbckeeiwwaw

3. Felhasználóneveket és jelszavakat gyűjt össze az alábbi alkalmazásokból:

  • SecureFX
  • FTP Rush
  • UltraFXP
  • ALFTP
  • FTP Commander
  • FTP Navigator
  • TurboFTP
  • SmartFTP
  • WS_FTP
  • FileZilla
  • Far Manager
  • Total Commander
  • GlobalSCAPE Software

4. E-mail címeket kutat fel a fertőzött rendszeren.

5. Az összegyűjtött információkat kiszivárogtatja a terjesztői számára.

Megoldás

  • Teljes rendszervizsgálat egy naprakész adatbázisú vírusírtóval.
  • Egyéb eszközök az eltávolításhoz:
  1. Norton Power Eraser Tool  (A program agresszív technikákat alkalmaz, így érdemes átnézni a törlésre kiválasztott programok listáját, nehogy egy tiszta programot távolítson el.) https://security.symantec.com/nbrt/npe.aspx?lcid=1033
  2. Symantec Power Eraser (SymHelp)  http://www.symantec.com/techsupp/home_homeoffice/products/sep/SymHelp.exe

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-64446 – Fortinet FortiWeb Path Traversal sérülékenysége
CVE-2025-2884 – TCG Out-of-Bounds read sérülékenysége
CVE-2025-24052 – Windows Agere Modem Driver Elevation of Privilege sérülékenysége
CVE-2025-0033 – SEV-SNP RMP Initialization sérülékenysége
CVE-2025-62214 – Visual Studio Remote Code Execution sérülékenysége
CVE-2025-62199 – Microsoft Office Remote Code Execution sérülékenysége
CVE-2025-59504 – Azure Monitor Agent Remote Code Execution sérülékenysége
CVE-2025-12480 – Gladinet Triofox Improper Access Control sérülékenysége
CVE-2025-62215 – Windows Kernel Elevation of Privilege sérülékenysége
Tovább a sérülékenységekhez »