Predet trójai


2015. november 19. 11:51

CH azonosító

CH-12791

Angol cím

Predet trojan

Felfedezés dátuma

2015.11.18.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Predet trójai egy többfunkciós kártevő, amely jelentős mértékben képes hozzájárulni különféle károkozásokhoz. Elsősorban adatlopásra alkalmas összetevőket tartalmaz, amik révén rendszerinformációkat és felhasználói adatokat is képes a terjesztőihez eljuttatni. Először pontosan feltérképezi az általa megfertőzött rendszert, beleértve a telepített biztonsági alkalmazásokat is. Majd minden fontosabb paraméterről értesíti a támadókat, akik ezáltal tisztába kerülnek azzal, hogy milyen PC-ken van jelen a szerzeményük.

Leírás

A Predet a rendszerinformációk mellett a következő adatokat sem veti meg:

  • postafiókokhoz tartozó hitelesítő adatok
  • webböngészők által eltárolt információk (űrlapadatok, jelszavak stb.)
  • JDownloader és Internet Downloader Manager információk
  • Minecraft fiókadatok
  • Steam fiókinformációk
  • Bitcoin adatok.

A fentiek alapján látható, hogy a Predator a játékos kedvű felhasználók adatait sem kíméli.

Technikai részletek:

1. Létrehozza az alábbi állományokat:
%AppData%WindowsUpdate.exe
%AppData%pid.txt
%AppData%pidloc.txt
%AppData%.minecraftlastlogin
%AppData%Roamingjagex_cachereg
%AppData%Roamingjagex_cacheregPin[számítógépnév]_Pin[…].jpeg
%Temp%SysInfo.txt
%Temp%[számítógépnév]_wallet.dat
%Temp%wallet.dat
%Temp%screensscreenshot[…]_[számítógépnévjpeg
%Temp%EBFile_[…].exe
%Temp%BFile_[…].[…]
[meghajtó betűjele]:autorun.inf
[meghajtó betűjele]:Sys.exe

2. A regisztrációs adatbázishoz hozzáadja a következő értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunWindows Update = “%AppData%WindowsUpdate.exe”

3. Letiltja a Windows Feladatkezelőjét, a parancssori ablakot, a konfigurációs beállításokra szolgáló eszközt (Msconfig), valamint a regisztrációs adatbázis szerkesztőjét.
4. Információkat gyűjt össze a fertőzött rendszer hardver és szoftver környezetével kapcsolatban
5. Naplózza a billentyűleütéseket.
6. További programokat tölt le, illetve futtat.
7. Hamis üzeneteket jelenít meg.
8. Kitörli a böngészők által tárolt cookie-kat.
9. Megpróbál cserélhető meghajtókon keresztül további PC-kre felkerülni.
10. Adatokat szivárogtat ki.
11. Manipulálja a Windows Hosts állományát.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE)

Támadás típusa

Security bypass (Biztonsági szabályok megkerülése)
Trójai

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »