OSX.Slordu

CH azonosító

CH-11591

Angol cím

OSX.Slordu

Felfedezés dátuma

2014.09.04.

Súlyosság

Alacsony

Érintett rendszerek

Apple
Mac OS X

Érintett verziók

Mac OS X

Összefoglaló

Az OSX.Slordu egy trójai program ami hátsó kaput nyit, és adatokat lop el a fertőzött számítógépről.

Leírás

Mikor a trójai aktiválódik regisztrálja magát az LaunchAgent-be, így az operációs rendszerrel együtt képes indulni.

Bemásolja magát az alábbi helyekre:

  • $HOME/Library/LaunchAgents/clipboardd
  • /Library/Logs/clipboardd

Létrehozza az alábbi fájlokat:

  • $HOME/.fontset/pxupdate.ini
  • $HOME/.fontset/chkdiska.dat
  • $HOME/.fontset/chkdiskc.dat
  • $HOME/com.apple.service.clipboardd.plist
  • $HOME/Library/Logs/BackupData/[DATE]_keys.log

A következőkben a trójai kapcsolódik a 61.128.110.38:8000  IP címhez.

A trójai hátsó kaput nyit a fertőzött számítógépen annak érdekében, hogy az alábbi feladatokat hajtsa végre:

  • Létrehoz egy távoli parancssori elérést
  • Frissíti a konfigurációt
  • Szkenneli a fájlrendszert
  • Letölt fájlokat
  • Új processzeket hoz létre
  • Képernyőképeket készít
  • Naplózza a billentyűleütéseket

A trójai megszerzi az alábbi információkat és elküldi egy távoli kiszolgálóra:

  • Operációs rendszer neve és verziója
  • Kliens neve
  • Felhasználó neve
  • Elkészített képernyőképek
  • Naplózott billentyűleütések
  • Otthoni mappa útvonala
  • A telepített alkalmazások listája

A trójai ezen kívül az alábbi kiterjesztésű fájlokat lopja el az asztalról és a dokumentumok mappából:

  • .pdf
  • .doc
  • .docx
  • .ppt
  • .pptx

Megoldás

Frissítse a biztonsági szofverei adatbázisát.


Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »