Venik trójai


2015. október 14. 07:56

CH azonosító

CH-12692

Angol cím

Trojan.Venik

Felfedezés dátuma

2015.10.12.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000
Windows 7
Windows 95
Windows 98
Windows Me
Windows NT
Windows Vista
Windows XP

Összefoglaló

A Venik trójai gondosan ügyel arra, hogy egy számítógépen egyszerre csak egy példányban fusson. Különös óvatosságot mutat akkor, ha azt észleli, hogy egy virtuális gépre került fel. Amennyiben azonban minden számára fontos körülmény adott, akkor rögtön nekilát a legfontosabb feladatainak elvégzéséhez. Ez egyrészt fájlok kiszivárogtatásában merül ki, másrészt pedig egy hátsó kapu létrehozásában.

A Venik egyebek mellett a következő feladatok elvégzésére utasítható távolról:

  • fájlok le- és feltöltése
  • szolgáltatások létrehozása
  • a számítógép újraindítása vagy leállítása
  • kapcsolatok lezárása
  • a saját fájljainak frissítése.

A trójai fontos jellemzője, hogy esetenként fájltörlésre is vetemedik, amivel további károk forrásául szolgál.

Leírás

1. Létrehozza a következő állományokat:
%SystemDrive%[véletlenszerű karakterek][véletlenszerű karakterek].[véletlenszerű karakterek]
[a trójai könyvtára]lang.ini

2. A regisztrációs adatbázist kiegészíti az alábbi bejegyzéssel:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”EvtMgr” = “[a trójai elérési útvonala]”

3. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.

4. Bemásol a könyvtárába egy ReadMe.txt nevű fájlt.

5. A rendszermeghajtó gyökérkönyvtárába létrehoz egy wiseman.exe nevű fájlt.

6. Rendszerinformációkat (hardverparamétereket, területi beállításokat) gyűjt össze

7. Az összegyűjtött adatokat feltölti egy távoli kiszolgálóra a 3201-es porton keresztül.

8. Nyit egy hátsó kaput.

9. Várakozik a terjesztői által kiadott parancsokra.

10. Manipulálja a Windows host állományát.

11. Amennyiben az alábbi fájlok léteznek, akkor megpróbálja azokat törölni:
ASDSvc.exe
V3Lite.exe
%SystemDrive%1.vbs

12. Kapcsolódik egy vezérlőszerverhez.

13. Különféle fájlokat tölt fel a vezérlőszerverére.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool.

Támadás típusa

Hijacking (Visszaélés)
Trójai

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-61757 – Oracle Fusion Middleware Missing Authentication for Critical Function sérülékenysége
CVE-2024-12912 – ASUS Router AiCloud sérülékenysége
CVE-2025-11001 – 7-Zip sérülékenysége
CVE-2025-58034 – Fortinet FortiWeb OS Command Injection sérülékenysége
CVE-2025-13224 – Google Chrome sérülékenysége
CVE-2025-13223 – Google Chromium V8 Type Confusion sérülékenysége
CVE-2025-24893 – XWiki Platform Eval Injection sérülékenysége
CVE-2025-25256 – Fortinet FortiSIEM sebezhetősége
CVE-2022-40684 – Fortinet Multiple Products Authentication Bypass sebezhetősége
Tovább a sérülékenységekhez »