Ackantta
Az Ackantta legfontosabb feladata, hogy naplózza a billentyűleütéseket, és a támadók számára hátsó kaput nyisson a fertőzött rendszereken. A féreg egyes esetekben cserélhető meghajtókon keresztül is képes terjedni.
Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%System%\vxworks.exe
%System%\qnx.exe
2. A cserélhető meghajtókon létrehozza az alábbi állományokat:
autorun.inf
RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\redmond.exe
RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\Desktop.ini
3. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Wind River Systems" = "%System%\vxworks.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"QnX" = "%System%\qnx.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\"QnX" = "%System%\qnx.exe"
4. A regisztrációs adatbázisban módosítja az alábbi értékeket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List\%System%\"vxworks.exe" = "%System%\vxworks.exe:*:Enabled:Explorer"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{77520Q86-864L-N81R-0R2W-7U2G0P22436U}\"StubPath" = "%System%\qnx.exe"" "
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Wallpaper\"free" = "12"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Wallpaper\"bsd" = "03"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download\"CheckExeSignatures" = "0x1"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download\"RunInvalidSignatures" = "no"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\"LowRiskFileTypes" = ".zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.bat;.cmd;.pif;.scr;.mov;.mp3;.wav"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\"(Default)" = "[ENCRYPTED STRING]"
5. Létrehoz egy kulcsot a regisztrációs adatbázisban:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Wallpaper\XMAS
6. Megfertőzi az Explorer.exe állományt.
7. Naplózza a billentyűleütéseket, és az összegyűjtött adatokat a következő fájlba menti el:
%Windir%\drm.ocx
8. Csatlakozik egy előre meghatározott weboldalhoz.
9. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.
10. Email címeket gyűjt össze, amelyekre leveleket kezd el küldözgetni.
A fertőzött emailek tárgya lehet:
Subject: Mcdonalds wishes you Merry Christmas!
Coca Cola is proud to accounce our new Christmas Promotion.
You've received A Hallmark E-Card!
A fertőzött levelek mellékletéhez tartozó fájl neve lehet:
coupon.zip
promotion.zip
postcard.zip
-
A GIMP egy jogosulatlan kódfuttatásra módot adó hibát tartalmaz.
-
A Zyxel egyes AP-k esetében egy biztonsági rést foltozott be.
-
A Google Chrome kritikus biztonsági frissítést kapott.
-
Az ImageMagick négy sebezhetőség miatt kapott frissítést.
-
A Git fontos biztonsági hibajavításokat kapott.
-
Az Apache HTTP Server jelentős biztonsági frissítést kapott.
-
A Lenovo Vantage három biztonsági javítással bővült.
-
A Splunk Enterprise-hoz biztonsági frissítések érkeztek.
-
Az Adobe kritikus veszélyességű hibákat is javított a ColdFusion esetében.
-
Az Adobe kiadta az Illsutrator legújabb verzióit, amelyek révén 10 biztonsági hibát szüntetett meg.
A nyári szünet idején a gyerekek több időt töltenek otthon, sokszor felügyelet nélkül – ez pedig nemcsak a fizikai, hanem az online biztonság szempontjából is kihívásokat jelent.
Az ESET kiberbiztonsági szakértői most összefoglalják, milyen más módszerekkel lophatják el a személyes adatainkat – és mit tehetünk azért, hogy ez ne történhessen meg.
OLDALUNK
RSSImpresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek
Hozzászólási szabályzat