O97M/Donoff trójai

CH azonosító

CH-12936

Angol cím

TrojanDownloader: O97M/Donoff

Felfedezés dátuma

2015.09.08.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

Az O97M/Donoff trójai egy olyan kártékony makró script-es Microsoft Office fájl melyek más kártékony programot tölthet le.

Leírás

A kártékony makrókat tartalmazó Microsoft Office dokumentumok általában kéretlen levelek csatolmányaiban találhatóak meg. Ezekben a levelekben valamilyen szöveggel, megpróbálják rávenni az olvasót, hogy nyissák meg a csatolt dokumentumot.

Technikai részletek

 1. Az engedélyezett makrók a következő URL-ekről próbálnak meg fájlokat letölteni:

  • adobe-support.us/<removed>.exe
  • bringbackourgals.biz/php/<removed>/ken.exe
  • bustedrubberbabies.com/js/<removed>.exe
  • chinamanwoody.com/<removed>.php
  • chopsecurity.ru/microsoft/word/<removed>.com
  • climate54.ru/modules/mod_araticlhess/<removed>.php
  • colfdoc.it/cart/<removed>.exe
  • dhanophan.co.th/js/<removed>.exe
  • getimgdcenter.ru/<removed>.png
  • goldriverlinedancers.nl/components/dancers/<removed>.exe
  • goo.gl/<removed>
  • iloveberniemovie.ru/<removed>.png
  • internetincomeengine.net/<removed>.exe
  • joeniclesd.hostingsiteforfree.com/<removed>.exe
  • legendarydownloads.com/<removed>.exe
  • managercomponent.usa.cc/errors/<removed>.0.exe
  • offshorebags.asia/<removed>.exe
  • omc.hostingsiteforfree.com/<removed>.exe
  • papeleriaelcid.com/aurora/ajax/<removed>.exe
  • rghost.net/download/57465888/967d4c206f2a944160ffcc0f2b889f90a506653d/
    <removed>.exe
  • s1.directxex.net/uploads/<removed>
  • socialnetchat.tk/uch/<removed>.exe
  • u.to/<removed>

2. Létrehozza a következő állományokat:

  • APPDATAfdataupdate.com
  • APPDATAVTAYOVKKIET.exe
  • TEMP1101.exe
  • TEMP8fvk.exe
  • TEMPenu.exe
  • TEMPHZLAFFLTDDO.exe
  • TEMPmsml.exe
  • TEMPNYHEFLJDPZR.exe
  • TEMPsentinel.exe
  • TEMPxml.exe
  • USERPROFILEEPGRE.exe
  • USERPROFILEfkjhlkj23.com
  • USERPROFILESHIPA.exe
  • C:JGSNUWKJRFC.exe

3. További programokat szerez be, illetve futtat:

Megoldás

  • Ne nyisson meg imeretlen feladótól érkező üzeneteteket.
  • Használjon naprakész vírusírtó szofvert
  • Használjon anti SPAM programot

Hivatkozások

Egyéb referencia: www.microsoft.com


Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »