W32.Fixflo.B Trójai


2014. január 16. 12:59

CH azonosító

CH-10359

Angol cím

W32.Fixflo.B Trojan

Felfedezés dátuma

2014.01.05.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows

Összefoglaló

A W32.Fixflo.B olyan trójai, amely megfertőzi futtatható és dll fájlokat a számítógépen, valamint lehetővé teszi állományok letöltését és végrehajását a feltört számítógépen.

Leírás

Technikai részletek:

Bemásolja magát a következő helyre:
%CommonProgramFiles%Systemsymsrv.dll

Bemásolja a következő állományt a Windows Temp mappába:
%Temp%mccvn.sys

A regisztrációs adatbáziban a következő bejegyzéseket hozza létre, amelyek a Windows indulásakor minden esetben végrehajtódnak:

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows”LoadAppInit_DLLs” = „1”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows”RequireSignedAppInit_DLLs” = „0”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows”AppInit_DLLs” = „%CommonProgramFiles%Systemsymsrv.dll”

A regisztrációs adatbázisban létrehozza a következő bejegyzést:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”SFCDisable” = „FFFFFF9D” 

A regisztrációs adatbázisban módosítja a következő értékeket, hogy elrejtse jelenlétét

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced”ShowSuperHidden” = „0”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHidden”Type” = „radio”

Létrehoz egy KILLPRC nevű, Windows-os szolgáltatást

  • Startup Type: Manual
  • Image Path: %Temp%mccvn.sys
  • Display Name: KILLPRC

API-kal eseményeket figyel:

  • CreateFileW
  • ExitProcess
  • RegOpenKeyExA
  • RegOpenKeyExW
  • CreateProcessInternalW
  • CredReadW
  • MessageBoxTimeoutW

Megpróbál csatlakozni sorban az alábbi távoli szerverekhez további káros szoftverek letöltése végett

  • [http://]174.139.10.194/setu[REMOVED]
  • [http://]5isohu.com/setu[REMOVED]
  • [http://]www.aieov.com/setu[REMOVED]

Megfertőzi a futtatható és a DLL-kiterjesztésű állományokat és ellopja a hitelesítő adatokat a feltört számítógépen

Letöltet, majd futtat különféle programokat.

Megoldás

Használjon tűzfalat és vírusírtót, amelyet folyamtosan frissítse, növelje a jelszó-házirend erősségét, tiltsa le az automatikus lejátszást. Fájlmegostás esetén használjon ACL-eket és jelszavakat. Kapcsolja ki, majd távolítsa el a felesleges szolgáltatásokat.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Misconfiguration (Konfiguráció)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
CVE-2024-1874 – PHP sérülékenysége
CVE-2024-24576 – Rust sérülékenysége
CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége
CVE-2024-29988 – Microsoft Windows SmartScreen sérülékenysége
CVE-2024-26234 – Microsoft Windows proxy driver sérülékenysége
CVE-2023-6320 – LG webOS sérülékenysége
CVE-2023-6319 – LG webOS sérülékenysége
Tovább a sérülékenységekhez »