Redsip trójai

CH azonosító

CH-13050

Angol cím

Backdoor.Redsip

Felfedezés dátuma

2016.02.15.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Redsip egy klasszikus, hátsó kapu kiépítésére alkalmas trójai programnak tekinthető. Mind a működése, mind a felépítése egyszerű. Ennek ellenére nem célszerű lebecsülni, ugyanis minden feltünés nélkül képes kiszolgáltatottá tenni az általa megfertőzött rendszereket. A hátsó kapun keresztül távolról vezérelhető, és vírusterjesztési célokra is hadra fogható. Ez esetben a károkozó interneten keresztül szerzi be azokat a nemkívánatos programokat, amelyekkel el kell halmoznia a térdre kényszerített PC-ket.
A Redsip egy Adobe alkalmazásnak álcázza magát, és azt próbálja elhitetni a felhasználóval, hogy a jól ismert szoftvercég alkalmazásáról van szó. A valóságban azonban csak a fájlnevével trükközik.

Leírás

1. Létrehozza a következő állományokat:
%AllUsersProfile%updataAdobeTray.exe
%AllUsersProfile%updataMcUtil.dll
%AllUsersProfile%updataserver.db

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”updata” = “%AllUsersProfile%updata\ADOBET~1.EXE”
HKEY_CURRENT_USERSoftwareXXZH”load_path” = “[a trójai elérési útvonala]”
HKEY_CURRENT_USERSoftwareXXZH”key” = “[véletlenszerű karakterek]”

3. Csatlakozik egy távoli kiszolgálóhoz.

4. Nyit egy hátsó kaput.

5. Végrehajtja a számára kiadott parancsokat.

6. Esetenként további ártalmas programokat tölt le, illetve telepít fel.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket).
  • Használjon offline biztonsági mentést.
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool

Hivatkozások

Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu


Legfrissebb sérülékenységek
CVE-2022-44580 – RichPlugins Plugin For Google Reviews for WordPress sérülékenysége
CVE-2023-23421 – Microsoft Windows sérülékenysége
CVE-2023-23422 – Microsoft Windows sérülékenysége
CVE-2023-23420 – Microsoft Windows sérülékenysége
CVE-2023-23423 – Microsoft Windows sérülékenysége
CVE-2022-39214 – Combodo iTop (aka IT Operations Portal) sérülékenysége
CVE-2022-39216 – Combodo iTop (aka IT Operations Portal), Combodo iTop (aka IT Operations Portal) Community Edition sérülékenysége
CVE-2023-27501 – sap / netweaver application server abap, SAP NetWeaver Application Server ABAP sérülékenysége
CVE-2023-26360 – Adobe ColdFusion Improper Access Control sérülékenysége
CVE-2023-23397 – Microsoft Office Outlook sérülékenysége
Tovább a sérülékenységekhez »