Minaccia: Backdoor.Win32.NinjaSpy.c
Vulnerabilità: bypass dell'autenticazione
Descrizione: il malware è in ascolto sulle porte TCP 2003, 2004 e rilascia un file PE denominato "cmd.dll" nella directory di Windows. Collegandoti alla porta 2003, riceverai un numero "9951" dall'host infetto. Se inviamo il valore 1000, riceviamo un messaggio in portoghese "Pisca Pisca Ativado" si traduce in "Blink Blink Activated". Se ci colleghiamo alla porta 2004 e inviamo "abc123" otteniamo il messaggio "Acesso negado..." si traduce in "Accesso negato". Tuttavia, se prendi il numero iniziale che abbiamo ricevuto in precedenza (9951) durante la connessione alla porta 2003 e applichi alcuni calcoli, esponiamo la funzionalità nascosta. Prendi il valore 9951 e inverti le prime due cifre in 66, quindi aggiungi gli ultimi due 5 + 1 per ottenere un valore finale di "666". Esempio, il numero iniziale (9951) 99 invertito è uguale a 66 e 5 + 1 = 6. Immettere e inviare il valore costruito di "666" alla porta 2003 e la porta TCP 999 viene aperta. Collegati alla porta 999 e otterrai una shell remota.
Famiglia: NinjaSpy
Tipo: PE32
MD5: 9f39606d9e19771af5acc6811ccf557f
ID Vuln: MVID-2022-0552
Informativa: 14/04/2022
