Trojan.Vonteera

CH azonosító

CH-12814

Angol cím

Trojan.Vonteera

Felfedezés dátuma

2015.11.19.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows

Összefoglaló

A Vonteera egy adware családhoz tartozó kártevő, mely reklámokat jelenít meg a felhasználó rendszerén, és képes deaktiválni a vírusirtó szoftvereket.

Leírás

A kártevő aktiválódása után ütemezett feladatokat készít, a felugró reklámokat előkészítve.

Telepíti az alábbi szolgáltatást:
C:Users{username}AppDataLocalHofferappinf.exe

Majd a böngésző kiegészítőiben egy új Browser Helper Object (BHO)-et helyez el.

Megváltoztatja az alábbi böngésző parancsikonjait, úgy hogy egy URL-t ad hozzá a target mezőhöz:
  • Internet Explorer
  • Firefox
  • Chrome
  • Opera
  • Safari
Az URL egy olyan kódra mutat, mely randomizált helyre irányítja át a felhasználót.

A kártevő Chrome böngészőben képes engedélyezi a PoliciesChromiumExtensionInstallForcelist funkciót, mely lehetővé tesz olyan kiegészítők telepítését a háttérben, amit a felhasználónak nincs jogosultsága kitörölni.

Majd az adware telepítője 13 tanúsítványt helyez a nem megbízhatóak közé, így a Windows beépített biztonsági eljárása veszélyesnek találja az adott programot és blokkolja annak futtatását:
  • ESS Distribution”
  • AVAST Software a.s.
  • AVG Technologies CZ
  • Avira Operations GmbH & Co. KG
  • Baidu Online Network Technology (Beijing) Co.
  • Bitdefender SRL
  • ESET, spol. s r.o.
  • Lavasoft Limited
  • Malwarebytes Corporation
  • McAfee, Inc.
  • Panda Security S.L
  • ThreatTrack Security
  • Trend Micro
Végül számos helyen próbál meg reklámokat mutatni, például ha a böngészőben új ablakot nyit a felhasználó.

Megoldás

  • Indítsa el a Windows Tanúsítványkezelőjét (certmgr.msc)
  • Válassza ki a Nem megbízható tanúsítványok > Megbízható tanúsítványok listája mappát.
  • Az itt található tanúsítványokat a jobb egérgomb > törlés pontjával távolíthatja el
  • Majd futtassa a vírusirtó szoftverét és távolítsa el a kártevőt.

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »