Trojan:Win32/Wysotot.A Trójai vírus


2013. november 9. 17:35

CH azonosító

CH-9976

Angol cím

Trojan:Win32/Wysotot.A

Felfedezés dátuma

2013.10.31.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows operációs rendszerek

Összefoglaló

A Win32/Sysotot.A trójai kártevő szoftver csomagokkal települ a számítógépre, amik ingyenes játékokat vagy szoftvereket reklámoznak.

Leírás

Település: A Win32/Sysotot.A trójai kártevő szoftver csomagokkal települ a számítógépre, amik ingyenes játékokat vagy szoftvereket reklámoznak.

Az egyik telepítő a Win32/Startpage.VT trójait a következőképpen terjesztette:

Amint feltelepedett a trójai, szolgáltatásként hozzáadja magát a Windowshoz Wsys Service vagy Dprotect Service néven.

Néha egy uninstalláló bejegyzés is bekerül Wsys Control <verzió szám> névvel. Az uninstall szoftvert lefuttatva vélhetően letörlni a Win32/Sysotot.A-t a számítógépről.

Payload:

Módosult böngésző beállítások:

A Win32/Wysotot.A monitorozza a PC-t, amikor a következő parancsikonokra kattintunk:

  • Internet Explorer
  • Firefox
  • Chrome
  • Opera

Amikor a fent említett böngészők valamelyikét megnyitja, a trójai átirányít az alábbi weboldalak egyikére a böngésző beállított alapértelmezett kezdőlapja helyett:

  • v9.com
  • 22find.com
  • 22apple.com
  • qvo6.com
  • portaldosites.com
  • delta-homes.com

A Win32/Wysotot.A módosítja a böngésző parancsikon fájljait, hogy a fent említett weblapokra irányítsa azt. Például:

C:Program FilesInternet Exploreriexplore.exe

Módosított:

“C:Program FilesInternet Exploreriexplore.exe” hxxp://en.v9.com/?utm_source=b&utm_medium=eBP&utm_campaign=eBP&utm_content=sc&from=eBP&uid=<some text>&ts=<some timestamp>

A trójai módosítja a következő regisztrációs adatbázis kulcsokat is, hogy a start menü internet explorer bejegyzéseit is megváltoztassa:

Az alkulcsban: HKLMSOFTWAREClientsStartMenuInternetIEXPLORE.EXEshellopen

beállítja az értéket :”command”

a következő adatra: “C:Program FilesInternet Exploreriexplore.exe” http://en.v9.com/?utm_source=b&utm_medium=eBP&utm_campaign=eBP&utm_content=sc&from=eBP&uid=<some text>&ts=<some timestamp> “

További információk:

A Win32/Wysotot.A elküldi a számítógépen levő antimalver szoftver állapotát egy C&C szerverre.

Képes letölteni, futtatni, és megszakítani folyamatokat. A parancsok:

  • indít
  • futtat
  • megállít
  • uninstaláll
  • folyamatot befejez
  • újraindít

Az elemzést Geoff McDonald készítette.

Tünetek:

A következők jelezhetik, ha a számítógépen jelen van ez a trójai szoftver:

  • A web böngésző váratlan weboldalakra irányít át a megnyitásakor.
  • Ezeket a bejegyzéseket találhatjuk meg a registry adatbázisban:

Az alkulcsban: HKLMSOFTWAREClientsStartMenuInternetIEXPLORE.EXEshellopen

beállított érték :”command”

a következő adattal: “C:Program FilesInternet Exploreriexplore.exe” http://en.v9.com/?utm_source=b&utm_medium=eBP&utm_campaign=eBP&utm_content=sc&from=eBP&uid=<some text>&ts=<some timestamp> “

Megoldás

Vírusírtók, antimalver szoftverek

Hivatkozások

Gyártói referencia: www.securityhome.eu

Legfrissebb sérülékenységek
CVE-2026-34197 – Apache ActiveMQ Improper Input Validation sérülékenység
CVE-2026-33825 – Microsoft Defender Elevation of Privilege sérülékenység
CVE-2019-11510 – Ivanti Pulse Connect Secure Arbitrary File Read sérülékenység
CVE-2018-8453 – Microsoft Win32k Privilege Escalation sérülékenység
CVE-2019-0708 – Microsoft Remote Desktop Services Remote Code Execution sérülékenység
CVE-2022-22965 – Spring Framework JDK 9+ Remote Code Execution sérülékenység
CVE-2026-32201 – Microsoft SharePoint Server Improper Input Validation sérülékenység
CVE-2009-0238 – Microsoft Office Remote Code Execution sérülékenység
CVE-2026-34621 – Adobe Acrobat and Reader Prototype Pollution sebezhetőség
CVE-2020-9715 – Adobe Acrobat Use-After-Free sebezhetőség
Tovább a sérülékenységekhez »