Puccmine.A trójai


2014. október 9. 06:20

CH azonosító

CH-11699

Angol cím

Puccmine.A

Felfedezés dátuma

2014.10.07.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A Puccmine.A féreg érdekessége, hogy nemcsak a terjedésére koncentrál, hanem olyan képességei is vannak, amikkel a hátsó kapuk létesítésére alkalmas trójai programok rendelkeznek. Ezáltal a károkozó több szempontból is kockázatot jelent. Egyrészt cserélhető adattárolókon, valamint hálózati megosztásokon keresztül veszélyezteti a PC-ket, másrészt azok megfertőzését követően kiszolgáltatottá teszi a rendszereket a külső támadásokkal szemben. A támadók elsősorban fájlok letöltésére, adatok kiszivárogtatására vehetik rá a fertőzött rendszereket. 

A Puccmine féreg egyik fontos ismertetőjele, hogy az egyik központi állományát minden esetben a számítógép neve alapján nevezi el. E fájl a rendszergazda mappájába kerül. Emellett azonban további állományokat is felmásol a rendszerekre, amelyeket szintén a rendszergazda mappájához tartozó alkönyvtárakba hoz létre. Ezt követően nyit egy hátsó kaput, és várakozik a támadók parancsaira.

Leírás

1. Létrehozza a következő állományt:
c:documents and settingsadministrator[a számítógép neve][a számítógép neve].exe

2. Felmásolja a rendszerre az alábbi fájlokat:
c:documents and settingsadministratorlocal settingstemp8s3q3yfc.bat
c:documents and settingsadministratorlocal settingstemp8sd7pe5s.bat

3. További fájlokat hoz létre a számítógépen:
c:documents and settingsadministratorlocal settingsapplication dataqb07004c.bblibcurl.dll
c:documents and settingsadministratorlocal settingsapplication dataqb07004c.bbminerd.exe
c:documents and settingsadministratorlocal settingsapplication dataqb07004c.bbpthreadgc2.dll
c:documents and settingsadministratorlocal settingsapplication dataqb07004c.bbzlib1.dll
c:documents and settingsadministratorlocal settingsapplication dataqb0743ae.43libcurl.dll
c:documents and settingsadministratorlocal settingsapplication dataqb0743ae.43minerd.exe
c:documents and settingsadministratorlocal settingsapplication dataqb0743ae.43pthreadgc2.dll
c:documents and settingsadministratorlocal settingsapplication dataqb0743ae.43zlib1.dll

4. Csatlakozik egy távoli kiszolgálóhoz a 9000-es TCP porton keresztül.

5. Fogadja a támadók parancsait, amelyeket rögtön végrehajt.

6. További kártékony fájlokat tölt le.

7. Szerepet vállal adatszivárogtatásban.

8. Rendszeresen frissíti a saját állományait.

9. Gondoskodik a további terjedéséről.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)

Szükséges hozzáférés

Local/Shell (Helyi/shell)
Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.isbk.hu
Egyéb referencia: www.microsoft.com

Legfrissebb sérülékenységek
CVE-2026-20127 – Cisco Catalyst SD-WAN Controller and Manager Authentication Bypass sérülékenység
CVE-2022-20775 – Cisco SD-WAN Path Traversal sérülékenység
CVE-2026-21241 – Windows Ancillary Function Driver for WinSock Elevation of Privilege sérülékenység
CVE-2025-40540 – SolarWinds Serv-U Type Confusion Remote Code Execution sérülékenység
CVE-2025-40539 – SolarWinds Serv-U Type Confusion Remote Code Execution sérülékenysége
CVE-2025-40538 – SolarWinds Serv-U Broken Access Control Remote Code Execution sérülékenysége
CVE-2026-25108 – Soliton Systems K.K FileZen OS Command Injection sérülékenység
CVE-2025-68461 – RoundCube Webmail Cross-site Scripting sérülékenység
CVE-2026-22769 – Dell RecoverPoint for Virtual Machines (RP4VMs) Use of Hard-coded Credentials sérülékenység
CVE-2021-22175 – GitLab Server-Side Request Forgery (SSRF) sérülékenység
Tovább a sérülékenységekhez »