W32.Extrat.B
Angol cím: 
W32.Extrat.B
CERT-Hungary ID: 
CH-10585
Felfedezés dátuma: 
2014-02-10
Összefoglaló: 

A W32.Extrat.B egy olyan kártevő, amely eltávolítható meghajtókon és Peer-2-Peer fájlmegosztó hálózatokon keresztül terjed.

Leírás: 

A kártevő általában egy fertőzött Microsoft Word dokumentumon keresztül kerül a rendszerre, amelyben pl. a következő sérülékenységet használják ki:

  • Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability (CVE-2012-0158)

A kártevő a következő könyvtárakat, fájlokat és registry bejegyzéseket hozza létre:

  • %UserProfile%\Application Data\Microsoft\Windows\VDB0Wd7T\
  • %Windir%\InstallDir\
  • %UserProfile%\Application Data\Microsoft\Windows\VDB0Wd7T\VDB0Wd7T.dat
  • %UserProfile%\Application Data\Microsoft\Windows\VDB0Wd7T\VDB0Wd7T.nfo
  • %UserProfile%\Application Data\Microsoft\Windows\VDB0Wd7T\VDB0Wd7T.svr
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"HKLM" = "expand:"C:\WINDOWS\InstallDir\Server.exe""
  • HKEY_CURRENT_USER\Software\VDB0Wd7T\"ServerStarted" = "expand:"2/12/2014 7:23:32 AM""
  • HKEY_CURRENT_USER\Software\VDB0Wd7T\"InstalledServer" = "expand:"C:\WINDOWS\InstallDir\Server.exe""
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"HKCU" = "expand:"C:\WINDOWS\InstallDir\Server.exe""

A következő tevékenységeket hajthatja végre:

  • Listázza a megnyitott ablakokat és futó folyamatokat
  • Elindít és leállít folyamatokat
  • Módosít szolgáltatásokat
  • Módosítja a Windows registry-t
  • Fájlokat mozgat
  • Billentyűleütéseket rögzít
  • Aktiválja a webkamerát
  • Információkat, jelszavakat gyűjt
  • Távoli shell-t hoz létre
  • Manipulálja a clipboard tartalmát
Hivatkozások: 
Megoldás: 
Ismeretlen
Érintett verziók: 
Windows 98, Windows 95, Windows XP, Windows Server 2008, Windows 7, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000