Surge trójai


2015. december 8. 07:15

CH azonosító

CH-12840

Angol cím

Surge trojan

Felfedezés dátuma

2015.12.07.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Surge trójai egy olyan szolgáltatást regisztrál be a Windows alá, amely első ránézésre eszközszinkronizációs feladatokat végez. A valóságban azonban ebből semmi sem igaz, hiszen a károkozó ezt a szoláltatást használja arra, hogy a háttérben folyamatosan kémkedhessen.

Leírás

A Surge alapvetően kétféle módon igyekszik értékes információkhoz jutni. Egyrészt folyamatosan monitorozza a billentyűleütéseket, másrészt rendszeresen lementi a vágólap tartalmát. Az adatokat összegyűjti, és kiszivárogtatja a terjesztői számára.

A Surge fontos jellemzője, hogy további ártalmas fájlokat is képes feljuttatni a rendszerekre, miközben a saját összetevőit is tudja frissíteni.

Technikai részletek:

1. Létrehozza a következő állományt:

%AppData%MicrosoftCryptoRSAMachineKeyssgkey.data
%AppData%MicrosoftCryptoRSAMachineKeys[véletlenszerű karakterek]
%AppData%MicrosoftDeviceSync[fájlnév].exe
%AppData%MicrosoftDeviceSync[fájlnév]
%AppData%MicrosoftDeviceSync[fájlnév].dll
%Temp%RarSFX0Readme.txt

2. A regisztrációs adatbázishoz hozzáadja a következő értékeket:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDeviceSync”Type” = “0x00000120”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDeviceSync”Start” = “0x00000002”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDeviceSync”ErrorControl” = “0x00000001”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDeviceSync”ImagePath” = “[meghajtó betűjele]:Documents and SettingsAll UsersApplication DataMicrosoftDeviceSync[Legit exe name].exe”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDeviceSync”DisplayName” = “Microsoft Windows DeviceSync Service”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDeviceSync”ObjectName” = “LocalSystem”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDeviceSync”Description” = “…”

3. Létrehoz két mutexet annak érdekében, hogy egyszerre csak egy példányban induljon el.

4. Naplózza a billentyűleütések.

5. Lementi a vágólap tartalmát.

6. További fájlokat tölt le.

7. Frissíti a saját összetevőit.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket)!
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE)

Támadás típusa

Security bypass (Biztonsági szabályok megkerülése)
Trójai
backdoor

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »