EternalRocks/BlueDoom féreg
Angol cím: 
EternalRocks/BlueDoom worm
CERT-Hungary ID: 
CH-14058
Felfedezés dátuma: 
2017-05-19
Összefoglaló: 

Az EternalRocks féreg hét, egykori NSA eszközt egyesít magában (Eternalblue, Eternalchampion, Eternalromance, Eternalsynergy, SMBtouch, Architouch és Doublepulsar), amelyekkel a Windows SMB hibáit használja ki. Jelenleg nem tölt re ransomware, illetve egyéb káros összetevőt, de hátsó kaput nyit, így a számítógépet sérülékennyé teszi jövőbeni támadásokkal szemben.

Leírás: 

Az SMB-n keresztüli fertőzés után telepíti a TOR-t és azon keresztül jelez a C&C szervernek, ami 24 óra elteltével válaszol.

 

Technikai részletek:

A fő komponens a "taskhost.exe", 4.6 MB méretű fájl.

A féreg a lent található mappákban létrehozza az alábbi fájlokat:

c:\config\:
Architouch.inconfig
Doublepulsar.inconfig
Eternalblue.inconfig
Eternalchampion.inconfig
Eternalromance.inconfig
Eternalsynergy.inconfig
Smbtouchv.inconfig

c:\payloads\:
ReflectivePick_x64.dll
ReflectivePick_x86.dll
x64.shellcode.out
x86.shellcode.out

c:\bins:
trfo-0.dll
pcreposix-0.dll
taskmgr.exe
dmgd-4.dll
ssleay32.dll
zlib1.dll
trfo.dll
pcrecpp-0.dll
riar.dll
eteb-2.dll
etchCore-0.x64.dll
tibe.dll
trch-0.dll
etchCore-0.x86.dll
pcla-0.dll
ucl.dll
riar-2.dll
posh.dll
pcre-0.dll
winlogon.exe
cnli-1.dll
crli-0.dll
posh-0.dll
msdtc.exe
iconv.dll
wmiprvse.exe
zibe.dll
lsass.exe
etch-0.dll
libiconv-2.dll
adfw-2.dll
trfo-2.dll
xdvl-0.dll
cnli-0.dll
exma.dll
etebCore-2.x86.dll
coli-0.dll
csrss.exe
etebCore-2.x64.dll
adfw.dll
trch.dll
tucl-1.dll
tibe-2.dll
spooler.exe
dmgd-1.dll
trch-1.dll
tucl.dll
libeay32.dll
tibe-1.dll
libxml2.dll
libcurl.dll
esco-0.dll

Megoldás: 
Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se
Megoldás: 

Amennyiben lehetséges, a régebbi Windows verziókat cserélje le a legújabb verziókra.
Telepítse az összes javítást.

Érintett verziók: 
Microsoft Windows
Érintett rendszerek
Hatás
Súlyosság
Szükséges hozzáférés
Támadás típusa