Antivar
Az Antivar trójai mindössze öt fontosabb lépésben képes megfertőzni a rendszereket, amelyeket egyúttal védtelenné is tesz a külső károkozásokkal szemben. Ennek oka, hogy a kártékony program egy hátsó kaput nyit a számítógépeken, amelyen keresztül a támadók különféle műveleteket hajthatnak végre, akár úgy is, hogy mindebből a felhasználó nagy valószínűséggel nem vesz észre semmit. A trójai tartalmaz egy rövid URL-listát is, amely kifejezetten orosz (.ru) domain alatt működő kiszolgálók elérését biztosítja.
Az Antivar véletlenszerű névvel ellátott fájl formájában kerül fel a rendszerekre, amelyeken a Windows egyik rendszerkönyvtárába másolja be saját magát. Ezt követően létrehoz egy ServerNabs4 nevű Windows-os szolgáltatást, ami nemcsak a működését biztosítja, hanem azt is, hogy az operációs rendszer minden egyes újraindításakor automatikusan betöltődjön a memóriába.
Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%System%/[véletlenszerű karakterek].exe
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ServerNabs4/Security/"Security" = [...]
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ServerNabs4/
"Type" = "272"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ServerNabs4/
"Start" = "2"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ServerNabs4/
"ObjectName" = "LocalSystem"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ServerNabs4/
"ImagePath" = "%System%/[véletlenszerű karakterek].exe"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ServerNabs4/
"ErrorControl" = "1"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ServerNabs4/
"DisplayName" = "ServerNabs4"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/Root/LEGACY_SERVERNABS4/
0000/"Service" = "ServerNabs4"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/Root/LEGACY_SERVERNABS4/
0000/"Legacy" = "1"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/Root/LEGACY_SERVERNABS4/
0000/"DeviceDesc" = "ServerNabs4"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/Root/LEGACY_SERVERNABS4/
0000/"ConfigFlags" = "0"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/Root/LEGACY_SERVERNABS4/
0000/"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/Root/LEGACY_SERVERNABS4/
0000/"Class" = "LegacyDriver"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/Root/LEGACY_SERVERNABS4/
"NextInstance" = "1"
3. Létrehoz egy Windows-os szolgáltatást ServerNabs4 néven.
4. Létrehozza a következő fájlt:
%SystemDrive%/Documents and Settings/LocalService/Local Settings/Application Data/sLT.exf
5. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.
-
A GIMP egy jogosulatlan kódfuttatásra módot adó hibát tartalmaz.
-
A Zyxel egyes AP-k esetében egy biztonsági rést foltozott be.
-
A Google Chrome kritikus biztonsági frissítést kapott.
-
Az ImageMagick négy sebezhetőség miatt kapott frissítést.
-
A Git fontos biztonsági hibajavításokat kapott.
-
Az Apache HTTP Server jelentős biztonsági frissítést kapott.
-
A Lenovo Vantage három biztonsági javítással bővült.
-
A Splunk Enterprise-hoz biztonsági frissítések érkeztek.
-
Az Adobe kritikus veszélyességű hibákat is javított a ColdFusion esetében.
-
Az Adobe kiadta az Illsutrator legújabb verzióit, amelyek révén 10 biztonsági hibát szüntetett meg.
A nyári szünet idején a gyerekek több időt töltenek otthon, sokszor felügyelet nélkül – ez pedig nemcsak a fizikai, hanem az online biztonság szempontjából is kihívásokat jelent.
Az ESET kiberbiztonsági szakértői most összefoglalják, milyen más módszerekkel lophatják el a személyes adatainkat – és mit tehetünk azért, hogy ez ne történhessen meg.
OLDALUNK
RSSImpresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek
Hozzászólási szabályzat