Spasip trójai


2015. április 30. 06:45

CH azonosító

CH-12193

Angol cím

Infostealer.Spasip

Felfedezés dátuma

2015.04.27.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Spasip trójai legérdekesebb jellemzője, hogy különféle fejlesztőeszközök nevében terjed. Így például a Visual Studio, valamint a FoxPro ismertségét is felhasználja arra, hogy ne keltsen feltűnést a fertőzött rendszereken. Amikor a saját állományait sikerül feljuttatnia egy PC-re, akkor azon alaposan feltérképezi a fájlrendszert, és különös figyelmet szentel az Asztalon, illetve a Dokumentumok mappában lévő fájloknak. Ezekből a könyvtárakból dokumentumokat, képeket másol át a saját mappájába.

A Spasip rendszerinformációk bezsebelésére is alkalmas. Alapvető paramétereket kérdez le: a számítógép nevét, az operációs rendszer verzióját, az IP-címet stb. Az összegyűjtött adatokat pedig kiszivárogtatja a terjesztői számára.

A Spasip folyamatosan figyeli a felhasználó által csatlakoztatott, cserélhető adathordozókat, amelyekre felmásolja a kártékony állományait.

Leírás

1. Létrehozza a következő állományokat:

%UserProfile%My DocumentsVisual Studio 2005MSDEVFoxProVFP6.EXE

%UserProfile%My DocumentsVisual Studio 2005MSDEVFoxProDocsInfo.txt

%UserProfile%My DocumentsVisual Studio 2005MSDEVFoxProDocsldfldmap.txt

%UserProfile%My DocumentsVisual Studio 2005MSDEVFoxProDocsldfldsysinfo.txt

%UserProfile%My DocumentsVisual Studio 2005MSDEVFoxProKB947652-ver.log

%UserProfile%My DocumentsVisual Studio 2005MSDEVFoxPro~ld.exe

%AllUsersProfile%Start MenuProgramsStartupVFP6.lnk

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftShipTr”lnk” = “WGQ7/mol”

3. Feltérképezi a fájlrendszert, és az így kapott információkat lementi a következők szerint:

%UserProfile%My DocumentsVisual Studio 2005MSDEVFoxProDocsldfldmap.txt

4. Rendszerinformációkat gyűjt össze:

– a Windows verziója

– a számítógép neve

– IP-cím

– folyamatok listája

5. A fenti adatokat a következők szerint tárolja le:

%UserProfile%My DocumentsVisual Studio 2005MSDEVFoxProDocsldfldsysinfo.txt

6. Az Asztalon és a Dokumentumok mappában dokumentumokat, képeket és PGP-állományokat keres.

7. Lekérdezi az utoljára megnyitott állományokat.

8. A fenti fájlokat bemásolja az alábbi mappába:

%UserProfile%My DocumentsVisual Studio 2005MSDEVFoxProDocsldf

9. Felmásolja a saját állományait a cserélhető meghajtókra.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
backdoor

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »