W32.Extrat.B

CH azonosító

CH-10585

Angol cím

W32.Extrat.B

Felfedezés dátuma

2014.02.09.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 2000
Windows 7
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Érintett verziók

Windows 98, Windows 95, Windows XP, Windows Server 2008, Windows 7, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

Összefoglaló

A W32.Extrat.B egy olyan kártevő, amely eltávolítható meghajtókon és Peer-2-Peer fájlmegosztó hálózatokon keresztül terjed.

Leírás

A kártevő általában egy fertőzött Microsoft Word dokumentumon keresztül kerül a rendszerre, amelyben pl. a következő sérülékenységet használják ki:

  • Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability (CVE-2012-0158)

A kártevő a következő könyvtárakat, fájlokat és registry bejegyzéseket hozza létre:

  • %UserProfile%Application DataMicrosoftWindowsVDB0Wd7T
  • %Windir%InstallDir
  • %UserProfile%Application DataMicrosoftWindowsVDB0Wd7TVDB0Wd7T.dat
  • %UserProfile%Application DataMicrosoftWindowsVDB0Wd7TVDB0Wd7T.nfo
  • %UserProfile%Application DataMicrosoftWindowsVDB0Wd7TVDB0Wd7T.svr
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”HKLM” = “expand:”C:WINDOWSInstallDirServer.exe””
  • HKEY_CURRENT_USERSoftwareVDB0Wd7T”ServerStarted” = “expand:”2/12/2014 7:23:32 AM””
  • HKEY_CURRENT_USERSoftwareVDB0Wd7T”InstalledServer” = “expand:”C:WINDOWSInstallDirServer.exe””
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”HKCU” = “expand:”C:WINDOWSInstallDirServer.exe””

A következő tevékenységeket hajthatja végre:

  • Listázza a megnyitott ablakokat és futó folyamatokat
  • Elindít és leállít folyamatokat
  • Módosít szolgáltatásokat
  • Módosítja a Windows registry-t
  • Fájlokat mozgat
  • Billentyűleütéseket rögzít
  • Aktiválja a webkamerát
  • Információkat, jelszavakat gyűjt
  • Távoli shell-t hoz létre
  • Manipulálja a clipboard tartalmát