Explod trójai


2015. április 14. 10:30

CH azonosító

CH-12146

Angol cím

Trojan.Explod

Felfedezés dátuma

2015.04.13.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000
Windows 7Windows 95
Windows 98
Windows Me
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Összefoglaló

Az Explod trójai készítői kifejezetten adatlopási célokkal hozták létre a  káros kódot. A károkozó jellemzőinek áttekintésekor világossá válik, hogy az nem kizárólag az egyéni felhasználók körében tud károkat okozni, hanem vállalati környezetekben is. Ezt támasztja alá például, hogy a távoli asztali kapcsolatokhoz tartozó csatlakozási és hitelesítő adatokat is megkaparintja, amivel a terjesztői, például egy hátsó kapun keresztül, különféle vállalati rendszerekhez férhetnek hozzá.

Az Explod a kémkedése során különös figyelmet szentel az Internet Explorer, az Outlook, valamint az Outlook Express alkalmazások által eltárolt felhasználói, illetve postafiók adatoknak. Mindezek mellett rendszeresen lementi a vágólap tartalmát, és folyamatosan kémleli a billentyűleütéseket. A megkaparintott adatokat távoli kiszolgálókra tölti fel, melyek címét egy DGA (domain generation algorithm) algoritmus segítségével generálja.

Leírás

1. Létrehozza a következő állományokat:
%Windir%MicrosoftConfig.Msisdata.sys
%Windir%MicrosoftConfig.Msipdata.sys
%Windir%MicrosoftConfig.Msiprdata.sys
%Windir%MicrosoftConfig.Msipdata.sysTEMPsystmp2.dat
%Windir%MicrosoftConfig.Msipdata.sysTEMPsystmp.dat

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”winrpt” = “[a trójai elérési útvonala]”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMicrosoftServices”ImagePath” = “[a trójai elérési útvonala]”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMicrosoftServices”DisplayName” = “Microsoft Services”

3. Csatlakozik egy távoli kiszolgálóhoz, és nyit egy hátsó kaput.

4. Naplózza a billentyűleütéseket.

5. Összegyűjti az alábbi információkat:
– az Internet Explorer által eltárolt felhasználói adatok
– az Outlook és az Outlook Express alkalmazásokban felvett postafiókok azonosítói
– Windows Live és MSN Messenger hitelesítő adatok
– a vágólap tartalma
– távoli asztali kapcsolatokkal összefüggésbe hozható adatok.

6. További kártékony programokat tölt le, illetve futtat.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »