Varnostna obvestila / 20. 8. 1998

SI-CERT 98-01 / Trojanski konj Ie080898.exe

Na poštni seznam NTBugTraq je 10.8.1998 prispelo obvestilo o elektronski pošti, ki vsebuje trojanskega konja, tj. program, ki se predstavlja kot nadgradnja MS Internet Explorer pregledovalnika, v resnici pa se program namesti na računalnik in predvidoma pošilja podatke o njem na nekaj naslovov na Internetu. Trojanski konj lahko deluje le v Microsoft Windows 95/98/NT okolju.

Posto je dne 8.8.1998 prejelo tudi nekaj uporabnikov v Sloveniji.

Opis trojanskega konja

Sporocilo ima navedena za izvorni naslov (From) in opis (Subject) navedena:

From: Microsoft Internet Explorer Support Center
Subject: FREE! Your upgrade for Microsoft Internet Explorer

in vsebuje priogo (attachment) z imenom Ie080898.exe. Ostala polja v glavi sporocila in analiza pripetega programa nakazujeta, da izvira iz Bolgarije. Če program zaženete, se na direktoriju %SYSTEMROOT% ustvari program z imenom shell32.exe, poleg tega pa spremeni vrednost ključa.

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunDefault

v registru (Windows Registry). To omogoca zagon omenjenega programa shell32.exe vsakič, ko se računalnik zazene. Takrat se na nekaj tujih naslovov pošlje zaenkrat se neznano sporočilo, ki najverjetneje predstavlja podatke iz diska računalnika, na katerem se je trojanski konj “naselil”.

Rešitev

OPOZORILO: navedeno rešitev uporabljate na lastno odgovornost, predvsem svetujemo previdnost pri spreminjanju MS

Windows registra. Zaenkrat tudi ni znano, katere podatke z osebnega računalnika program pošilja, zato ni nujno, da je rešitev popolna.

Če ste zgoraj navedeno sporočilo prejeli, ga pobrišite; nikakor pa ne zazenite pripetega programa. Če ste program vseeno zagnali,

potem preverite, ali se na vašem računalniku nahaja opisani trojanski konj:

1.preverite, ali se na direktoriju %SYSTEMROOT% nahaja datoteka z imenom shell32.exe tako, da zaženete MS-DOS okno,

nato pa vpišete:

C:> cd %systemroot%

C:WINDOWS> dir shell32.exe

če ste datoteko našli, jo pobrišite.

2.preverite nastavitev ključa v registru tako, da pozenete Registry Editor (izberete Start->Run, vpisite v okence “regedit”), nato pa

izberite ključ

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

in preverite nastavitev z imenom “Default”; če se tam nahaja tudi “shell32.exe”, potem ga izbrisite iz nastavitve (desni klik z misko na “Default” in izberite “Modify”).

Uporabnikom MS Windows sistemov svetujemo redno spremljanje varnostnih problemov na

http://www.eu.microsoft.com/security/.

Preberite tudi

Varnostna obvestila / 17. 10. 2023

SI-CERT 2023-06 / Zlorabe Cisco IOS XE naprav

Cisco IOS XE naprave, ki imajo dostopen spletni vmesnik (Web UI) so ranljive in omogočajo storilcem zagon poljubne kode na njih. Ranljivost se trenutno aktivno izkorišča.

Več

Varnostna obvestila / 25. 7. 2023

SI-CERT 2023-05 / Ranljivost Ivanti Endpoint Manager Mobile (MobileIron)

Ranljivost CVE-2023-35078 Endpoint Manager Mobile (EPMM, prej MobileIron Core) za upravljanje mobilnih naprav podjetja Ivanti omogoča oddaljeni zagon poljubne kode na ranljivem sistemu (RCE, Remote Code Execution). Ranljivost ima najvišjo oceno CVSS (10.0) in se že izrablja v kibernetskih napadih. Skrbnikom svetujemo takojšnjo nadgradnjo.

Več

Varnostna obvestila / 21. 7. 2023

SI-CERT 2023-04 / Ranljivosti Citrix/NetScaler ADC in Gateway

Ranljivost CVE-2023-3519 neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Posodobitve odpravljajo ranljivost, ta naj bi se že izrabljala v posameznih napadih.

Več