W32.Golroted

CH azonosító

CH-11829

Angol cím

W32.Golroted

Felfedezés dátuma

2014.11.15.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A W32.Golroted egy féreg típusú kártevő, amely adatokat lop a számtógépről. Eltávolítható meghajtókon keresztül terjeszti önmagát. 

Leírás

Olyan összetevőkkel rendelkezik, amik a hagyományos kémprogramok esetében szoktak előkerülni. Így képes a billentyűleütések naplózására, képernyőképek lementésére, illetve a vágólap tartalmának kémlelésére. Emellett népszerű alkalmazások, webböngészők, levelezőprogramok és a Minecraft által eltárolt felhasználóneveket, illetve jelszavakat is megkaparintja.

A Golroted a fertőzött számítógépekről elérhetetlenné tesz egyes weboldalakat, majd megakadályozza a Feladatkezelő, a parancssori ablak, a regisztrációs adatbázis szerkesztőjének, valamint a Windows konfigurációs eszközének az elindítását. Ezzel pedig az eltávolítását is megnehezíti.

A Golroted az összegyűjtött adatokat feltölti egy távoli kiszolgálóra, majd további kártékony programokat tölt le az internetről, amelyeket fel is telepít.

A következőket hajtja végre:

1. Létrehozza a következő állományokat:

  • %UserProfile%Application DataWindows Update.exe
  • %UserProfile%Application DataWindowsUpdate.exe
  • %Temp%SysInfo.txt
  • %UserProfile%Application Datapid.txt
  • %UserProfile%Application Datapidloc.txt
  • %DriveLetter%Sys.exe
  • %DriveLetter%autorun.inf

2. A regisztrációs adatbázist kiegészíti az alábbi értékekkel:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Windows Update” = “%UserProfile%Application DataWindowsUpdate.exe”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftESENTProcessWindows UpdateDEBUG”Trace Level” = “”

3. Rendszerinformációkat gyűjt össze:

  • az operációs rendszer paraméterei
  • területi beállítások
  • hálózati beállítások
  • biztonsági szoftverekre vonatkozó információk

4. Leállítja az alábbi folyamatokat:

  • taskmgr.exe
  • cmd.exe
  • regedit.exe
  • msconfig.exe

5. Összegyűjti a következő alkalmazások által eltárolt felhasználóneveket, jelszavakat:

  • webböngészők
  • e-mail fiókok
  • Internet Download Manager
  • Jdownloader
  • Minecraft

6. Rendszeresen képernyőképeket ment le.

7. Naplózza a billentyűleütéseket

8. Lementi a vágólap tartalmát.

9. Kitörli a webböngészők által tárolt cookie-kat.

10. A fertőzött számítógépről elérhetetlenné tesz egyes weboldalakat.

11. További kártékony programokat tölt le, illetve telepít fel.

12. Az összegyűjtött adatokat kiszivárogtatja. 

Hivatkozások

Egyéb referencia: www.symantec.com
Egyéb referencia: www.isbk.hu


Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »