Salgorea.B trójai


2015. június 12. 09:32

CH azonosító

CH-12327

Angol cím

Salgorea.B trojan

Felfedezés dátuma

2015.06.11.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Salgorea.B trójai elsődleges feladata, hogy egy hátsó kaput létesítsen az általa megfertőzött számítógépeken, majd azon keresztül szolgálja ki a támadók igényeit.

Leírás

A kártékony program alapvetően az alábbi műveletek elvégzésére vehető rá távolról kiadott parancsok alapján:
– fájlkezelés (beleértve a távoli fájltörlést is)
– a regisztrációs adatbázis bejegyzéseinek manipulálása
– folyamatok leállítása
– rendszerinformációk összegyűjtése és kiszivárogtatása.

A Salgorea.B veszélyét fokozza, hogy megfelelő védelmi eszközök nélkül meglehetősen körülményes a felismerése. Ennek oka, hogy a kódját jól ismert folyamatok mögé rejti el, és a vezérlőszerverével folytatott hálózati kommunikációja során is igyekszik kerülni a feltűnést.

1. Létrehozza a következő állományokat:
%SystemDrive%Documents and SettingsAll UsersApplication DataTencentQQPluginCom.Tencent.DirectShowBundle.rdb
%SystemDrive%Documents and SettingsAll UsersApplication DataTencentQQqq.exe
%Windir%TasksQQIntlUdt.job
%Windir%TasksQQIntlUdt_%USERNAME%.job

2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftmspaint”(Default)” = „%SystemDrive%Documents and SettingsAll UsersApplication DataTencentQQPluginCom.Tencent.DirectShowBundle.rdb”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionime”Fuzzy” = 
HKEY_LOCAL_MACHINESOFTWAREATI TechnologiesInstallSouthBridgeATI_AHCI_RAID”Accessibility,2.0.0.0,,b03f5f7f11d50a3a,msil” =”130774016927030000″
HKEY_CURRENT_USERSoftwareEasyBoot Systems”SSID” = „130774016927030000”
HKEY_CLASSES_ROOT.rpi@ = „rpifile”

3. Megfertőz egy msiexec.exe nevű folyamatot.
4. Csatlakozik egy távoli szerverhez.
5. Nyit egy hátsó kaput.
6. Létrehozza, majd beállítja az alábbi rendszerváltozókat:
VarName = „{55F154C0-CDAF-45C4-9A1A-852FF51F951E}”
Value = „{55F154C0-CDAF-45C4-9A1A-852FF51F951E}”

7. Várakozik a támadók parancsaira, amelyeket rögtön végrehajt.

Támadás típusa

Trójai
backdoor

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2024-31857 – WordPress Forminator plugin sérülékenysége
CVE-2024-31077 – WordPress Forminator plugin sérülékenysége
CVE-2024-28890 – WordPress Forminator plugin sérülékenysége
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
CVE-2024-1874 – PHP sérülékenysége
CVE-2024-24576 – Rust sérülékenysége
CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége
Tovább a sérülékenységekhez »