Scieron trójai

CH azonosító

CH-11477

Angol cím

Trojan.Scieron

Felfedezés dátuma

2014.07.30.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7
Windows 8

Érintett verziók

Windows 98, Windows 95, Windows XP, Windows 7, Windows Me, Windows Vista, Windows NT, Windows 2000, Windows 8

Összefoglaló

Trojan.Scieron egy olyan trójai, amely hátsó ajtót nyít a fertőzött számítógépen. Általában WinWord alkalmazás formájában jut fel a számítógépre. Amint ez megtörténik, akkor a szövegszerkeztő helyett a kártékony kód kerül a memóriába, és így szabad utat enged a károkozóknak. A trójai a rendszerinformációk összegyűjtése során a számítógép és az operációs rendszer legfontosabb paramétereit kérdezi le, és gyűjti össze.

Leírás

1. Létrehozza a következő állományokat:
%UserProfile%Application Datawinword.exe
%UserProfile%Application Datahttpsapi.dll
%System%httpsapi.dll

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunhttps: “rundll32.exe %UserProfile%Application Datahttpsapi.dll,DllGetObject”

3. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKEY_CLASSES_ROOTCLSID{B8969153-2214-4d23-B02B-FC8B490F8F54}Default:”Http Security”
HKEY_CLASSES_ROOTCLSID{B8969153-2214-4d23-B02B-FC8B490F8F54}InprocServer32Default:”%System%mshttp.dll”

Ezzel egy BHO objektumot regisztrál be.

4. Létrehoz két mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.

5. Egy URL-lista alapján csatlakozik távoli kiszolgálókhoz.

6. Nyit egy hátsó kaput.

7. Rendszerinformációkat gyűjt össze.

8. Végrehajtja a terjesztői által kiadott parancsokat.

Megoldás

Windows Defender és a vírusírtók napra készen tartása.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-4632 – Samsung MagicINFO 9 Server Path Traversal sérülékenysége
CVE-2023-38950 – ZKTeco BioTime Path Traversal sérülékenysége
CVE-2025-27920 – Srimax Output Messenger Directory Traversal sérülékenysége
CVE-2025-4428 – Ivanti Endpoint Manager Mobile (EPMM) Code Injection sérülékenysége
CVE-2025-4427 – Ivanti Endpoint Manager Mobile (EPMM) Authentication Bypass sérülékenysége
CVE-2024-27443 – Synacor Zimbra Collaboration Suite (ZCS) Cross-Site Scripting (XSS) sérülékenysége
CVE-2024-11182 – MDaemon Email Server Cross-Site Scripting (XSS) sérülékenysége
CVE-2025-42999 – SAP NetWeaver Deserialization sérülékenysége
CVE-2024-12987 – DrayTek Vigor Routers OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »