Kegotip trójai


2015. február 27. 10:40

CH azonosító

CH-12032

Angol cím

Kegotip trojan

Felfedezés dátuma

2015.02.26.

Súlyosság

Alacsony

Érintett rendszerek

Windows

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Kegotip trójai véletlenszerű fájlnevekkel ellátott állományok kíséretében kerülhet fel a számítógépekre. Amikor ez megtörténik, akkor módosítja a regisztrációs adatbázist, és rögtön nekilát az adatgyűjtéshez.

A Kegotip gyakran használt alkalmazások által tárolt adatokat próbál ellopni. Elsősorban FTP-szerverekhez tartozó hozzáférési adatokat (felhasználóneveket, jelszavakat) igyekszik összegyűjteni, de olyan jól ismert alkalmazásokat is átvizsgál, mint amilyen például a FileZilla vagy a Total Commander, illetve tevékenységével e-mail címeket is képes megszerezni.

A trójai az általa összegyűjtött adatokat egy előre meghatározott távoli kiszolgálóra tölti fel.

Leírás

1. Létrehozza a következő állományokat:

  • %Temp%MSWQ[véletlenszerű karakterek].tmp
  • %UserProfile%dotrudtegibd.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:

  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParameters FirewallPolicyStandardProfileAuthorizedApplicationsList”C:WINDOWSsystem32″ svchost.exe” = “%System%svchost.exe:*:Enabled:Microsoft Office”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion”VendorId” = “[…]”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”dotrudtegibd” = “%UserProfile%dotrudtegibd.exe”
  • HKEY_CURRENT_USERSoftwareStqbckeeiwwaw

3. Felhasználóneveket és jelszavakat gyűjt össze az alábbi alkalmazásokból:

  • SecureFX
  • FTP Rush
  • UltraFXP
  • ALFTP
  • FTP Commander
  • FTP Navigator
  • TurboFTP
  • SmartFTP
  • WS_FTP
  • FileZilla
  • Far Manager
  • Total Commander
  • GlobalSCAPE Software

4. E-mail címeket kutat fel a fertőzött rendszeren.

5. Az összegyűjtött információkat kiszivárogtatja a terjesztői számára.

Megoldás

  • Teljes rendszervizsgálat egy naprakész adatbázisú vírusírtóval.
  • Egyéb eszközök az eltávolításhoz:
  1. Norton Power Eraser Tool  (A program agresszív technikákat alkalmaz, így érdemes átnézni a törlésre kiválasztott programok listáját, nehogy egy tiszta programot távolítson el.) https://security.symantec.com/nbrt/npe.aspx?lcid=1033
  2. Symantec Power Eraser (SymHelp)  http://www.symantec.com/techsupp/home_homeoffice/products/sep/SymHelp.exe

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2025-48572 – Android Framework Privilege Escalation sérülékenysége
CVE-2026-21877 – n8n Remote Code Execution via Arbitrary File Write sérülékenység
CVE-2025-68668 – n8n Arbitrary Command Execution sérülékenység
CVE-2025-68613 – n8n Remote Code Execution via Expression Injection sérülékenység
CVE-2026-21858 – n8n Unauthenticated File Access via Improper Webhook Request Handling sérülékenység
CVE-2025-37164 – Hewlett Packard Enterprise OneView Code Injection sérülékenység
CVE-2009-0556 – Microsoft Office PowerPoint Code Injection sérülékenység
CVE-2026-0625 – D-Link DSL Command Injection via DNS Configuration Endpoint sérülékenység
CVE-2020-12812 – Fortinet FortiOS SSL VPN Improper Authentication sérülékenysége
CVE-2025-68428 – jsPDF path traversal sérülékenysége
Tovább a sérülékenységekhez »