W32.Golroted


2014. november 26. 12:58

CH azonosító

CH-11829

Angol cím

W32.Golroted

Felfedezés dátuma

2014.11.15.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A W32.Golroted egy féreg típusú kártevő, amely adatokat lop a számtógépről. Eltávolítható meghajtókon keresztül terjeszti önmagát. 

Leírás

Olyan összetevőkkel rendelkezik, amik a hagyományos kémprogramok esetében szoktak előkerülni. Így képes a billentyűleütések naplózására, képernyőképek lementésére, illetve a vágólap tartalmának kémlelésére. Emellett népszerű alkalmazások, webböngészők, levelezőprogramok és a Minecraft által eltárolt felhasználóneveket, illetve jelszavakat is megkaparintja.

A Golroted a fertőzött számítógépekről elérhetetlenné tesz egyes weboldalakat, majd megakadályozza a Feladatkezelő, a parancssori ablak, a regisztrációs adatbázis szerkesztőjének, valamint a Windows konfigurációs eszközének az elindítását. Ezzel pedig az eltávolítását is megnehezíti.

A Golroted az összegyűjtött adatokat feltölti egy távoli kiszolgálóra, majd további kártékony programokat tölt le az internetről, amelyeket fel is telepít.

A következőket hajtja végre:

1. Létrehozza a következő állományokat:

  • %UserProfile%Application DataWindows Update.exe
  • %UserProfile%Application DataWindowsUpdate.exe
  • %Temp%SysInfo.txt
  • %UserProfile%Application Datapid.txt
  • %UserProfile%Application Datapidloc.txt
  • %DriveLetter%Sys.exe
  • %DriveLetter%autorun.inf

2. A regisztrációs adatbázist kiegészíti az alábbi értékekkel:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Windows Update” = „%UserProfile%Application DataWindowsUpdate.exe”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftESENTProcessWindows UpdateDEBUG”Trace Level” = „”

3. Rendszerinformációkat gyűjt össze:

  • az operációs rendszer paraméterei
  • területi beállítások
  • hálózati beállítások
  • biztonsági szoftverekre vonatkozó információk

4. Leállítja az alábbi folyamatokat:

  • taskmgr.exe
  • cmd.exe
  • regedit.exe
  • msconfig.exe

5. Összegyűjti a következő alkalmazások által eltárolt felhasználóneveket, jelszavakat:

  • webböngészők
  • e-mail fiókok
  • Internet Download Manager
  • Jdownloader
  • Minecraft

6. Rendszeresen képernyőképeket ment le.

7. Naplózza a billentyűleütéseket

8. Lementi a vágólap tartalmát.

9. Kitörli a webböngészők által tárolt cookie-kat.

10. A fertőzött számítógépről elérhetetlenné tesz egyes weboldalakat.

11. További kártékony programokat tölt le, illetve telepít fel.

12. Az összegyűjtött adatokat kiszivárogtatja. 

Támadás típusa

Unspecified (Nem részletezett)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com
Egyéb referencia: www.isbk.hu

Legfrissebb sérülékenységek
CVE-2024-20358 – Cisco ASA és FTD sérülékenysége
CVE-2024-20359 – Cisco ASA és FTD sérülékenysége
CVE-2024-20353 – Cisco ASA és FTD sérülékenysége
CVE-2024-31857 – WordPress Forminator plugin sérülékenysége
CVE-2024-31077 – WordPress Forminator plugin sérülékenysége
CVE-2024-28890 – WordPress Forminator plugin sérülékenysége
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
Tovább a sérülékenységekhez »