Predet trójai


2015. november 19. 11:51

CH azonosító

CH-12791

Angol cím

Predet trojan

Felfedezés dátuma

2015.11.18.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Predet trójai egy többfunkciós kártevő, amely jelentős mértékben képes hozzájárulni különféle károkozásokhoz. Elsősorban adatlopásra alkalmas összetevőket tartalmaz, amik révén rendszerinformációkat és felhasználói adatokat is képes a terjesztőihez eljuttatni. Először pontosan feltérképezi az általa megfertőzött rendszert, beleértve a telepített biztonsági alkalmazásokat is. Majd minden fontosabb paraméterről értesíti a támadókat, akik ezáltal tisztába kerülnek azzal, hogy milyen PC-ken van jelen a szerzeményük.

Leírás

A Predet a rendszerinformációk mellett a következő adatokat sem veti meg:

  • postafiókokhoz tartozó hitelesítő adatok
  • webböngészők által eltárolt információk (űrlapadatok, jelszavak stb.)
  • JDownloader és Internet Downloader Manager információk
  • Minecraft fiókadatok
  • Steam fiókinformációk
  • Bitcoin adatok.

A fentiek alapján látható, hogy a Predator a játékos kedvű felhasználók adatait sem kíméli.

Technikai részletek:

1. Létrehozza az alábbi állományokat:
%AppData%WindowsUpdate.exe
%AppData%pid.txt
%AppData%pidloc.txt
%AppData%.minecraftlastlogin
%AppData%Roamingjagex_cachereg
%AppData%Roamingjagex_cacheregPin[számítógépnév]_Pin[…].jpeg
%Temp%SysInfo.txt
%Temp%[számítógépnév]_wallet.dat
%Temp%wallet.dat
%Temp%screensscreenshot[…]_[számítógépnévjpeg
%Temp%EBFile_[…].exe
%Temp%BFile_[…].[…]
[meghajtó betűjele]:autorun.inf
[meghajtó betűjele]:Sys.exe

2. A regisztrációs adatbázishoz hozzáadja a következő értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunWindows Update = “%AppData%WindowsUpdate.exe”

3. Letiltja a Windows Feladatkezelőjét, a parancssori ablakot, a konfigurációs beállításokra szolgáló eszközt (Msconfig), valamint a regisztrációs adatbázis szerkesztőjét.
4. Információkat gyűjt össze a fertőzött rendszer hardver és szoftver környezetével kapcsolatban
5. Naplózza a billentyűleütéseket.
6. További programokat tölt le, illetve futtat.
7. Hamis üzeneteket jelenít meg.
8. Kitörli a böngészők által tárolt cookie-kat.
9. Megpróbál cserélhető meghajtókon keresztül további PC-kre felkerülni.
10. Adatokat szivárogtat ki.
11. Manipulálja a Windows Hosts állományát.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE)

Támadás típusa

Security bypass (Biztonsági szabályok megkerülése)
Trójai

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-41713 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2024-55550 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2021-44207 – Acclaim Systems USAHERDS Use of Hard-Coded Credentials sérülékenysége
CVE-2024-12356 – BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) Command Injection sérülékenysége
CVE-2022-23227 – NUUO NVRmini2 Devices Missing Authentication sérülékenysége
CVE-2024-51818 – Fancy Product Designer SQL injection sérülékenysége
CVE-2024-51919 – Fancy Product Designer ellenőrizetlen fájlfeltöltési sérülékenysége
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
Tovább a sérülékenységekhez »