Readomesa trójai


2014. november 18. 10:16

CH azonosító

CH-11810

Angol cím

Backdoor.Readomesa

Felfedezés dátuma

2014.11.16.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A Readomesa trójai célja, hogy elősegítse azokat a támadásokat, amelyek különféle rendszerek, illetve szolgáltatások térdre kényszerítésére irányulnak. Vagyis a trójai szolgáltatásmegtagadási támadások végrehajtását támogatja. Elsősorban olyan komponensekkel rendelkezik, amelyek hálózatalapú DoS támadásokhoz járulhatnak hozzá.

A Readomesa felhasználói mappákba és fájlok átmeneti tárolására szolgáló könyvtárakba másolja be a saját állományait. Ezt követően nyit egy hátsó kaput, ami többek között azt a célt szolgálja, hogy a károkozó képes legyen fogadni a támadók által kiadott utasításokat. A kártevő így szerez tudomást arról, hogy éppen milyen célpont ellen kell harcba szállnia.

Leírás

1. Létrehozza a következő állományokat:
%Temp%IPX[véletlenszerű karakterek].TMPreadme.txt
%Temp%IPX[véletlenszerű karakterek].TMPlibssp-0.dll
%Temp%IPX[véletlenszerű karakterek].TMPctfmon.exe
%AllUsersProfile%Application Datareadme.txt
%AllUsersProfile%Application Datalibssp-0.dll
%AllUsersProfile%Application Datactfmon.exe
%UserProfile%acpi64.cnm
%UserProfile%xupdater.exe
2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”wextract_cleanup1″ = “rundll32.exe %System%advpack.dll,DelNodeRunDLL32 “%Temp%IXP[véletlenszerű karakterek].TMP\””
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”wextract_cleanup0″ = “rundll32.exe %System%advpack.dll,DelNodeRunDLL32 “%Temp%IXP[véletlenszerű karakterek].TMP\””
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”pidgin” = “%AllUsersProfile%Application Datactfmon.exe”
3. Csatlakozik egy távoli kiszolgálóhoz.
4. Nyit egy hátsó kaput.
5. Szolgáltatásmegtagadási támadásokat kezdeményez HTTP, TCP és UDP protokollokra épülő módszerek felhasználásával.
6. Interneten keresztül frissíti a saját állományait.

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Information disclosure (Információ/adat szivárgás)
Manipulation of data

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »