Predet trójai

CH azonosító

CH-12791

Angol cím

Predet trojan

Felfedezés dátuma

2015.11.18.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Predet trójai egy többfunkciós kártevő, amely jelentős mértékben képes hozzájárulni különféle károkozásokhoz. Elsősorban adatlopásra alkalmas összetevőket tartalmaz, amik révén rendszerinformációkat és felhasználói adatokat is képes a terjesztőihez eljuttatni. Először pontosan feltérképezi az általa megfertőzött rendszert, beleértve a telepített biztonsági alkalmazásokat is. Majd minden fontosabb paraméterről értesíti a támadókat, akik ezáltal tisztába kerülnek azzal, hogy milyen PC-ken van jelen a szerzeményük.

Leírás

A Predet a rendszerinformációk mellett a következő adatokat sem veti meg:

  • postafiókokhoz tartozó hitelesítő adatok
  • webböngészők által eltárolt információk (űrlapadatok, jelszavak stb.)
  • JDownloader és Internet Downloader Manager információk
  • Minecraft fiókadatok
  • Steam fiókinformációk
  • Bitcoin adatok.

A fentiek alapján látható, hogy a Predator a játékos kedvű felhasználók adatait sem kíméli.

Technikai részletek:

1. Létrehozza az alábbi állományokat:
%AppData%WindowsUpdate.exe
%AppData%pid.txt
%AppData%pidloc.txt
%AppData%.minecraftlastlogin
%AppData%Roamingjagex_cachereg
%AppData%Roamingjagex_cacheregPin[számítógépnév]_Pin[…].jpeg
%Temp%SysInfo.txt
%Temp%[számítógépnév]_wallet.dat
%Temp%wallet.dat
%Temp%screensscreenshot[…]_[számítógépnévjpeg
%Temp%EBFile_[…].exe
%Temp%BFile_[…].[…]
[meghajtó betűjele]:autorun.inf
[meghajtó betűjele]:Sys.exe

2. A regisztrációs adatbázishoz hozzáadja a következő értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunWindows Update = “%AppData%WindowsUpdate.exe”

3. Letiltja a Windows Feladatkezelőjét, a parancssori ablakot, a konfigurációs beállításokra szolgáló eszközt (Msconfig), valamint a regisztrációs adatbázis szerkesztőjét.
4. Információkat gyűjt össze a fertőzött rendszer hardver és szoftver környezetével kapcsolatban
5. Naplózza a billentyűleütéseket.
6. További programokat tölt le, illetve futtat.
7. Hamis üzeneteket jelenít meg.
8. Kitörli a böngészők által tárolt cookie-kat.
9. Megpróbál cserélhető meghajtókon keresztül további PC-kre felkerülni.
10. Adatokat szivárogtat ki.
11. Manipulálja a Windows Hosts állományát.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE)

Legfrissebb sérülékenységek
CVE-2023-4863 – Google Chrome sérülékenysége
CVE-2023-40186 – FreeRDP sérülékenysége
CVE-2023-20890 – VMware Aria Operations For Networks sérülékenysége
CVE-2023-34039 – VMware Aria Operations for Networks sérülékenysége
CVE-2023-23770 – Motorola MBTS Site Controller sérülékenysége
CVE-2023-38388 – JupiterX Core Premium WordPress Plugin sérülékenysége
CVE-2023-38831 – RARLabs WinRAR sérülékenysége
CVE-2023-38035 – Ivanti Sentry sérülékenysége
CVE-2023-20212 – ClamAV sérülékenysége
CVE-2023-36847 – Juniper Networks Junos OS sérülékenysége
Tovább a sérülékenységekhez »