Xiazai trójai

CH azonosító

CH-13449

Angol cím

Xiazai trojan

Felfedezés dátuma

2016.07.27.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Xiazai trójai elnevezésű káros kód vált ismertté, amely segítségével a vírus terjesztői a felhasználó számítógépén nyitott, hátsó kapun keresztül jogosulatlanul férhetnek hozzá a fertőzött rendszer erőforrásaihoz, illetve tetszőleges műveletek végrehajtására adhatnak utasítást.

Leírás

A Xiazai trójai forrása a desklnk elnevezésű mappába kerül és nemkívánatos tevékenységének leplezése érdekében jól ismert folyamatokat fertőz meg (ennek köszönhetően például a Feladatkezelőben is nehéz detektálni a jelenlétét). A trójai legszembetűnőbb ismertetőjegye, hogy lecseréli az Internet Explorer kezdőoldalát, emellett további nemkívánatos programok letöltését is elősegítheti, esetenként akár adatszivárogtatáshoz is hozzájárulhat.

Technikai részletek:

1. Létrehozza a következő állományokat:
%APPDATA%desklnkcontroller32.exe
%APPDATA%desklnkdateanimationicon32.dll
%APPDATA%desklnkrililnkex32.dll

2. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKLMSoftwareClassesCLSID{350F098C-C09F-40F5-8761-3959CA346EDA}InprocServer32(default)=”%APPDATA%desklnkrililnkex32.dll”
HKLMSoftwareClassesCLSID{350F098C-C09F-40F5-8761-3959CA346EDA}InprocServer32ThreadingModel=”apartment”
HKLMSoftwareClassesRiliLnkEx.RiLiLnkExt.1CLSID(default)=”{350f098c-c09f-40f5-8761-3959ca346eda}”
HKLMSoftwareClassesRiliLnkEx.RiLiLnkExtCLSID(default)=”{350f098c-c09f-40f5-8761-3959ca346eda}”
HKLMSoftwareClassesTypeLib{D2B48D19-078D-451B-9EBC-788B43AF427B}1.0win32(default)=”%APPDATA%desklnkrililnkex32.dll”

3. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszeren.

4. Különféle folyamatokat fertőz meg.

5. Megváltoztatja az Internet Explorer kezdőoldalát.

6. Kapcsolódik egy távoli vezérlőszerverhez.

7. Nyit egy hátsó kaput.

8. Végrehajtja a támadók utasításait.

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.sophos.com


Legfrissebb sérülékenységek
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2023-36554 – Fortinet FortiManager sérülékenysége
CVE-2023-42789 – Fortinet FortiOS sérülékenysége
CVE-2023-47534 – Fortinet FortiClientEMS sérülékenysége
CVE-2023-48788 – Fortinet FortiClientEMS sérülékenysége
CVE-2024-22256 – VMware Cloud Director sérülékenysége
CVE-2024-20338 – Cisco Secure Client sérülékenysége
CVE-2024-20337 – Cisco Secure Client sérülékenysége
CVE-2024-23296 – iOS, iPadOS sérülékenysége
Tovább a sérülékenységekhez »