Salgorea.B trójai


2015. június 12. 09:32

CH azonosító

CH-12327

Angol cím

Salgorea.B trojan

Felfedezés dátuma

2015.06.11.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Salgorea.B trójai elsődleges feladata, hogy egy hátsó kaput létesítsen az általa megfertőzött számítógépeken, majd azon keresztül szolgálja ki a támadók igényeit.

Leírás

A kártékony program alapvetően az alábbi műveletek elvégzésére vehető rá távolról kiadott parancsok alapján:
– fájlkezelés (beleértve a távoli fájltörlést is)
– a regisztrációs adatbázis bejegyzéseinek manipulálása
– folyamatok leállítása
– rendszerinformációk összegyűjtése és kiszivárogtatása.

A Salgorea.B veszélyét fokozza, hogy megfelelő védelmi eszközök nélkül meglehetősen körülményes a felismerése. Ennek oka, hogy a kódját jól ismert folyamatok mögé rejti el, és a vezérlőszerverével folytatott hálózati kommunikációja során is igyekszik kerülni a feltűnést.

1. Létrehozza a következő állományokat:
%SystemDrive%Documents and SettingsAll UsersApplication DataTencentQQPluginCom.Tencent.DirectShowBundle.rdb
%SystemDrive%Documents and SettingsAll UsersApplication DataTencentQQqq.exe
%Windir%TasksQQIntlUdt.job
%Windir%TasksQQIntlUdt_%USERNAME%.job

2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftmspaint”(Default)” = “%SystemDrive%Documents and SettingsAll UsersApplication DataTencentQQPluginCom.Tencent.DirectShowBundle.rdb”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionime”Fuzzy” = 
HKEY_LOCAL_MACHINESOFTWAREATI TechnologiesInstallSouthBridgeATI_AHCI_RAID”Accessibility,2.0.0.0,,b03f5f7f11d50a3a,msil” =”130774016927030000″
HKEY_CURRENT_USERSoftwareEasyBoot Systems”SSID” = “130774016927030000”
HKEY_CLASSES_ROOT.rpi@ = “rpifile”

3. Megfertőz egy msiexec.exe nevű folyamatot.
4. Csatlakozik egy távoli szerverhez.
5. Nyit egy hátsó kaput.
6. Létrehozza, majd beállítja az alábbi rendszerváltozókat:
VarName = “{55F154C0-CDAF-45C4-9A1A-852FF51F951E}”
Value = “{55F154C0-CDAF-45C4-9A1A-852FF51F951E}”

7. Várakozik a támadók parancsaira, amelyeket rögtön végrehajt.

Támadás típusa

Trójai
backdoor

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »