Trojan.Asterope

CH azonosító

CH-11459

Angol cím

Trojan.Asterope

Felfedezés dátuma

2014.07.22.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows XP
Windows 7
Windows Vista
Windows NT
Windows 2000

Összefoglaló

Az Asterope trójai internetes reklámok visszaéléseiből próbál hasznot húzni. A kártékony program a számítógépeken manipulációkat hajt végre, ezáltal a kattintás alapú csalásokat könnyíti meg. A trójai módosítja a regisztrációs adatbázist úgy, hogy értékeket változtat meg és hoz létre az Internet Explorer kárára. Az Asterope trójai egy konfigurációs fájl segítségével távolról vezérelhető. A kártékony program – amikor letölti a komponenseit- olyan információkhoz jut hozzá, amivel kezdeményezhet átirányításokat, valamint manipulálni tudja az URL-eket. A számítógépekre szükség esetén Flash Playert is telepíthet.

Leírás

1.A következő állományokat hozza létre:
%Temp%tmp[véletlenszerű karakterek].exe
%UserProfile%Application DataMicrosoftWindows[véletlenszerű karakterek].exe
%AllUsersProfile%Start MenuProgramsStartup[véletlenszerű karakterek].lnk
%UserProfile%Start MenuProgramsStartup[véletlenszerű karakterek].lnk
2.Az alábbi értékeket hozzáadja a regisztrációs adatbázishoz:
%HKEY_CURRENT_USER%SoftwareMicrosoftWindowsCurrentVersionExplorerVisualEffectsTooltipShadow”DefaultValue” = “0”
%HKEY_CURRENT_USER%SoftwareMicrosoftWindowsCurrentVersionExplorerVisualEffectsTooltipShadow”DefaultApplied” = “65”
%HKEY_CURRENT_USER%SoftwareMicrosoftWindowsCurrentVersionExplorerVisualEffectsTooltipShadow”random value” = “[…]”
3.A regisztrációs adatbázis következő kulcsaiban szereplő értékeket manipulálja:
HKEY_CURRENT_USERControl PanelDesktop
HKEY_CURRENT_USERSoftwareMicrosoftCommand Processor
HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Internet SettingsZones
4.Az alábbi értékeket hozzáfűzi a regisztrációs adatbázishoz:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
PoliciesExplorer”Run” = “%UserProfile%Application DataMicrosoftWindows[véletlenszerű karakterek].exe”””
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
“[RANDOM FILE NAME]” = “%UserProfile%Application DataMicrosoftWindows[véletlenszerű karakterek].exe”””
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
RunOnce”[RANDOM FILE NAME]” = “%UserProfile%Application DataMicrosoftWindows[véletlenszerű karakterek].exe”””
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet Explorer”GlobalUserOffline” = “0”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain”NoProtectedModeBanner” = “1”
5.Egy konfigurációs állományt tölt le az interneten keresztül, amely alapján további műveleteket hajt végre.
6.Néhány mutexet hoz létre.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-4078 – Microsoft Exchange szerver sérülékenység
CVE-2025-6170 – Red Hat sebezhetősége
CVE-2025-6021 – Red Hat sebezhetősége
CVE-2025-49796 – Red Hat sebezhetősége
CVE-2025-5777 – Citrix NetScaler sebezhetősége
CVE-2025-49825 – Teleport sebezhetősége
CVE-2025-4322 – WordPress sérülékenység
CVE-2025-37091 – HPE StoreOnce Remote Code Execution sebezhetősége
CVE-2025-37093 – HPE StoreOnce Authentication Bypass sebezhetősége
Tovább a sérülékenységekhez »