Surge trójai


2015. december 8. 07:15

CH azonosító

CH-12840

Angol cím

Surge trojan

Felfedezés dátuma

2015.12.07.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Surge trójai egy olyan szolgáltatást regisztrál be a Windows alá, amely első ránézésre eszközszinkronizációs feladatokat végez. A valóságban azonban ebből semmi sem igaz, hiszen a károkozó ezt a szoláltatást használja arra, hogy a háttérben folyamatosan kémkedhessen.

Leírás

A Surge alapvetően kétféle módon igyekszik értékes információkhoz jutni. Egyrészt folyamatosan monitorozza a billentyűleütéseket, másrészt rendszeresen lementi a vágólap tartalmát. Az adatokat összegyűjti, és kiszivárogtatja a terjesztői számára.

A Surge fontos jellemzője, hogy további ártalmas fájlokat is képes feljuttatni a rendszerekre, miközben a saját összetevőit is tudja frissíteni.

Technikai részletek:

1. Létrehozza a következő állományt:

%AppData%MicrosoftCryptoRSAMachineKeyssgkey.data
%AppData%MicrosoftCryptoRSAMachineKeys[véletlenszerű karakterek]
%AppData%MicrosoftDeviceSync[fájlnév].exe
%AppData%MicrosoftDeviceSync[fájlnév]
%AppData%MicrosoftDeviceSync[fájlnév].dll
%Temp%RarSFX0Readme.txt

2. A regisztrációs adatbázishoz hozzáadja a következő értékeket:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDeviceSync”Type” = „0x00000120”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDeviceSync”Start” = „0x00000002”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDeviceSync”ErrorControl” = „0x00000001”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDeviceSync”ImagePath” = „[meghajtó betűjele]:Documents and SettingsAll UsersApplication DataMicrosoftDeviceSync[Legit exe name].exe”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDeviceSync”DisplayName” = „Microsoft Windows DeviceSync Service”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDeviceSync”ObjectName” = „LocalSystem”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesDeviceSync”Description” = „…”

3. Létrehoz két mutexet annak érdekében, hogy egyszerre csak egy példányban induljon el.

4. Naplózza a billentyűleütések.

5. Lementi a vágólap tartalmát.

6. További fájlokat tölt le.

7. Frissíti a saját összetevőit.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket)!
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE)

Támadás típusa

Security bypass (Biztonsági szabályok megkerülése)
Trójai
backdoor

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
CVE-2024-1874 – PHP sérülékenysége
CVE-2024-24576 – Rust sérülékenysége
CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége
CVE-2024-29988 – Microsoft Windows SmartScreen sérülékenysége
CVE-2024-26234 – Microsoft Windows proxy driver sérülékenysége
CVE-2023-6320 – LG webOS sérülékenysége
Tovább a sérülékenységekhez »