W32.Fixflo.B Trójai


2014. január 16. 12:59

CH azonosító

CH-10359

Angol cím

W32.Fixflo.B Trojan

Felfedezés dátuma

2014.01.05.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows

Összefoglaló

A W32.Fixflo.B olyan trójai, amely megfertőzi futtatható és dll fájlokat a számítógépen, valamint lehetővé teszi állományok letöltését és végrehajását a feltört számítógépen.

Leírás

Technikai részletek:

Bemásolja magát a következő helyre:
%CommonProgramFiles%Systemsymsrv.dll

Bemásolja a következő állományt a Windows Temp mappába:
%Temp%mccvn.sys

A regisztrációs adatbáziban a következő bejegyzéseket hozza létre, amelyek a Windows indulásakor minden esetben végrehajtódnak:

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows”LoadAppInit_DLLs” = “1”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows”RequireSignedAppInit_DLLs” = “0”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows”AppInit_DLLs” = “%CommonProgramFiles%Systemsymsrv.dll”

A regisztrációs adatbázisban létrehozza a következő bejegyzést:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”SFCDisable” = “FFFFFF9D” 

A regisztrációs adatbázisban módosítja a következő értékeket, hogy elrejtse jelenlétét

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced”ShowSuperHidden” = “0”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHidden”Type” = “radio”

Létrehoz egy KILLPRC nevű, Windows-os szolgáltatást

  • Startup Type: Manual
  • Image Path: %Temp%mccvn.sys
  • Display Name: KILLPRC

API-kal eseményeket figyel:

  • CreateFileW
  • ExitProcess
  • RegOpenKeyExA
  • RegOpenKeyExW
  • CreateProcessInternalW
  • CredReadW
  • MessageBoxTimeoutW

Megpróbál csatlakozni sorban az alábbi távoli szerverekhez további káros szoftverek letöltése végett

  • [http://]174.139.10.194/setu[REMOVED]
  • [http://]5isohu.com/setu[REMOVED]
  • [http://]www.aieov.com/setu[REMOVED]

Megfertőzi a futtatható és a DLL-kiterjesztésű állományokat és ellopja a hitelesítő adatokat a feltört számítógépen

Letöltet, majd futtat különféle programokat.

Megoldás

Használjon tűzfalat és vírusírtót, amelyet folyamtosan frissítse, növelje a jelszó-házirend erősségét, tiltsa le az automatikus lejátszást. Fájlmegostás esetén használjon ACL-eket és jelszavakat. Kapcsolja ki, majd távolítsa el a felesleges szolgáltatásokat.

Hivatkozások

Gyártói referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2026-34197 – Apache ActiveMQ Improper Input Validation sérülékenység
CVE-2026-33825 – Microsoft Defender Elevation of Privilege sérülékenység
CVE-2019-11510 – Ivanti Pulse Connect Secure Arbitrary File Read sérülékenység
CVE-2018-8453 – Microsoft Win32k Privilege Escalation sérülékenység
CVE-2019-0708 – Microsoft Remote Desktop Services Remote Code Execution sérülékenység
CVE-2022-22965 – Spring Framework JDK 9+ Remote Code Execution sérülékenység
CVE-2026-32201 – Microsoft SharePoint Server Improper Input Validation sérülékenység
CVE-2009-0238 – Microsoft Office Remote Code Execution sérülékenység
CVE-2026-34621 – Adobe Acrobat and Reader Prototype Pollution sebezhetőség
CVE-2020-9715 – Adobe Acrobat Use-After-Free sebezhetőség
Tovább a sérülékenységekhez »