Weecnaw trójai

CH azonosító

CH-12140

Angol cím

Weecnaw

Felfedezés dátuma

2015.04.09.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Weecnaw trójai alapvetően két fontosabb modulból épül fel. Az egyik adatlopásért felel, míg a másik hátsó kaput létesít a számítógépeken. Ennek megfelelően a károkozó számos problémát idézhet elő, amelyek közül a legkockázatosabb, hogy teljes mértékben képes kiszolgáltatottá tenni az áldozatául eső PC-ket a külső támadásokkal szemben.

Leírás

Távolról vezérelhető módon a terjesztői egyebek mellett a következő feladatok elvégzésére utasíthatják:

  • fájlrendszer tallózása
  • fájlok letöltése és futtatása
  • folyamatok kezelése
  • parancssoros ablak elérése
  • billentyűleütések naplózása
  • a trójai eltávolítása.

A Weecnaw elsősorban rendszerinformációk után kémkedik, de nem veti meg a postafiókokkal és a különféle online szolgáltatásokkal kapcsolatos hitelesítő adatokat sem. Így például a Windows Live fiókokhoz tartozó azonosítókat is bezsebeli.

1. Létrehozza a következő állományokat:
%UserProfile%Application Datapuushpuush.daemon.exe
%UserProfile%Application Datapuush.Identifier

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”puush daemon” = “%UserProfile%Application Datapuushpuush.daemon.exe”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components[véletlenszerű karakterek]”StubPath” = “%UserProfile%Application Datapuushpuush.daemon.exe”

3. Csatlakozik egy távoli kiszolgálóhoz a 42069-es TCP porton keresztül.

4. Fogadja a támadók parancsait, amelyeket rögtön végrehajt.

5. Összegyűjti az alábbi információkat:

  • az operációs rendszer és a számítógép legfontosabb paraméterei
  • felhasználói fiókok
  • böngészési előzmények
  • postafiókadatok
  • Pidgin és Windows Live hozzáférési adatok

6. Az összegyűjtött adatokat kiszivárogtatja. 

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.


Legfrissebb sérülékenységek
CVE-2023-25859 – Adobe Illustrator sérülékenysége
CVE-2023-25860 – Adobe Illustrator sérülékenysége
CVE-2023-25861 – Adobe Illustrator sérülékenysége
CVE-2023-26358 – Adobe Creative Cloud sérülékenysége
CVE-2023-26426 – Adobe Illustrator sérülékenysége
CVE-2023-27855 – Rockwell Automation's ThinManager ThinServer sérülékenysége
CVE-2023-1256 – aveva / telemetry server, aveva / aveva plant scada sérülékenysége
CVE-2023-28100 – Flatpak sérülékenysége
CVE-2022-38063 – social login wp project / social login wp sérülékenysége
CVE-2023-25280 – dlink / dir820la1 firmware sérülékenysége
Tovább a sérülékenységekhez »