Readomesa trójai


2014. november 18. 10:16

CH azonosító

CH-11810

Angol cím

Backdoor.Readomesa

Felfedezés dátuma

2014.11.16.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A Readomesa trójai célja, hogy elősegítse azokat a támadásokat, amelyek különféle rendszerek, illetve szolgáltatások térdre kényszerítésére irányulnak. Vagyis a trójai szolgáltatásmegtagadási támadások végrehajtását támogatja. Elsősorban olyan komponensekkel rendelkezik, amelyek hálózatalapú DoS támadásokhoz járulhatnak hozzá.

A Readomesa felhasználói mappákba és fájlok átmeneti tárolására szolgáló könyvtárakba másolja be a saját állományait. Ezt követően nyit egy hátsó kaput, ami többek között azt a célt szolgálja, hogy a károkozó képes legyen fogadni a támadók által kiadott utasításokat. A kártevő így szerez tudomást arról, hogy éppen milyen célpont ellen kell harcba szállnia.

Leírás

1. Létrehozza a következő állományokat:
%Temp%IPX[véletlenszerű karakterek].TMPreadme.txt
%Temp%IPX[véletlenszerű karakterek].TMPlibssp-0.dll
%Temp%IPX[véletlenszerű karakterek].TMPctfmon.exe
%AllUsersProfile%Application Datareadme.txt
%AllUsersProfile%Application Datalibssp-0.dll
%AllUsersProfile%Application Datactfmon.exe
%UserProfile%acpi64.cnm
%UserProfile%xupdater.exe
2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”wextract_cleanup1″ = “rundll32.exe %System%advpack.dll,DelNodeRunDLL32 “%Temp%IXP[véletlenszerű karakterek].TMP\””
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”wextract_cleanup0″ = “rundll32.exe %System%advpack.dll,DelNodeRunDLL32 “%Temp%IXP[véletlenszerű karakterek].TMP\””
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”pidgin” = “%AllUsersProfile%Application Datactfmon.exe”
3. Csatlakozik egy távoli kiszolgálóhoz.
4. Nyit egy hátsó kaput.
5. Szolgáltatásmegtagadási támadásokat kezdeményez HTTP, TCP és UDP protokollokra épülő módszerek felhasználásával.
6. Interneten keresztül frissíti a saját állományait.

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Information disclosure (Információ/adat szivárgás)
Manipulation of data

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2023-1289 – ImageMagick sérülékenysége
CVE-2023-1050 – Koc Energy Web Report System sérülékenysége
CVE-2022-22512 – VARTA Storage Web-UI sérülékenysége
CVE-2023-25859 – Adobe Illustrator sérülékenysége
CVE-2023-25860 – Adobe Illustrator sérülékenysége
CVE-2023-25861 – Adobe Illustrator sérülékenysége
CVE-2023-26358 – Adobe Creative Cloud sérülékenysége
CVE-2023-26426 – Adobe Illustrator sérülékenysége
CVE-2023-27855 – Rockwell Automation's ThinManager ThinServer sérülékenysége
CVE-2022-45124 – wellintech / kinghistorian sérülékenysége
Tovább a sérülékenységekhez »