Volgmer.B Trójai


2015. szeptember 21. 09:14

CH azonosító

CH-12628

Angol cím

Volgmer.B Trojan

Felfedezés dátuma

2015.09.20.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Volgmer.B trójai Hangul Word Processor (HWP) dokumentumok révén terjed. A HWP állományokat feldolgozó szövegszerkesztő alkalmazást a dél-koreai Hamcom vállalat fejleszti az ottani, helyi és nyelvi sajátosságoknak megfelelően. Ezért a trójairól joggal feltételezhető, hogy elsősorban erre a régióra lett kiélezve.

Leírás

A Volgmer alapvetően két feladatot lát el. Egyrészt rendszerinformációkat gyűjt össze, illetve szivárogtat ki a számítógépre, a Windows-ra, a hálózati beállításokra és a folyamatokra vonatkozóan. Másrészt pedig egy hátsó kaput létesít a 443-as TCP porton keresztül. Ennek révén egyebek mellett a következő parancsok adhatók ki számára:

  • fájlműveletek
  • parancssorból futtatható utasítások végrehajtása
  • folyamatok leállítása
  • fájlok feltöltése és letöltése
  • hálózati portok nyitása
  • a trójai fájljainak frissítése
  • a trójai eltávolítása

Technikai részletek:

1. Létrehozza a következő állományokat:
%AllUsersProfile%Start MenuProgramsStartupMpCmdRun.exe
%Temp%PMS[SEQUENTIAL NUMBER].tmp
%Temp%AdobeArm.exe
%Temp%svchost.exe
%Temp%qsm.bat
%Temp%msdtcvtre.bat
%Temp%zawq.bat

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShell FoldersCommon Startup” = “C:Documents and SettingsAll UsersStart MenuProgramsStartup

3. Csatlakozik egy távoli kiszolgálóhoz a 443-as TCP porton keresztül.

4. Nyit egy hátsó kaput.

5. Összegyűjti a számítógépre, az operációs rendszerre, a hálózatra és a folyamatokra vonatkozó legfontosabb információkat.

6. Az összegyűjtött adatokat kiszivárogtatja.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
backdoor

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »