W32.Extrat.B


2014. február 19. 20:24

CH azonosító

CH-10585

Angol cím

W32.Extrat.B

Felfedezés dátuma

2014.02.09.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 2000
Windows 7
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Érintett verziók

Windows 98, Windows 95, Windows XP, Windows Server 2008, Windows 7, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

Összefoglaló

A W32.Extrat.B egy olyan kártevő, amely eltávolítható meghajtókon és Peer-2-Peer fájlmegosztó hálózatokon keresztül terjed.

Leírás

A kártevő általában egy fertőzött Microsoft Word dokumentumon keresztül kerül a rendszerre, amelyben pl. a következő sérülékenységet használják ki:

  • Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability (CVE-2012-0158)

A kártevő a következő könyvtárakat, fájlokat és registry bejegyzéseket hozza létre:

  • %UserProfile%Application DataMicrosoftWindowsVDB0Wd7T
  • %Windir%InstallDir
  • %UserProfile%Application DataMicrosoftWindowsVDB0Wd7TVDB0Wd7T.dat
  • %UserProfile%Application DataMicrosoftWindowsVDB0Wd7TVDB0Wd7T.nfo
  • %UserProfile%Application DataMicrosoftWindowsVDB0Wd7TVDB0Wd7T.svr
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”HKLM” = “expand:”C:WINDOWSInstallDirServer.exe””
  • HKEY_CURRENT_USERSoftwareVDB0Wd7T”ServerStarted” = “expand:”2/12/2014 7:23:32 AM””
  • HKEY_CURRENT_USERSoftwareVDB0Wd7T”InstalledServer” = “expand:”C:WINDOWSInstallDirServer.exe””
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”HKCU” = “expand:”C:WINDOWSInstallDirServer.exe””

A következő tevékenységeket hajthatja végre:

  • Listázza a megnyitott ablakokat és futó folyamatokat
  • Elindít és leállít folyamatokat
  • Módosít szolgáltatásokat
  • Módosítja a Windows registry-t
  • Fájlokat mozgat
  • Billentyűleütéseket rögzít
  • Aktiválja a webkamerát
  • Információkat, jelszavakat gyűjt
  • Távoli shell-t hoz létre
  • Manipulálja a clipboard tartalmát

Támadás típusa

Unspecified (Nem részletezett)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »