Nivdort.CW trójai


2016. január 25. 12:24

CH azonosító

CH-12976

Angol cím

TrojanSpy: Win32/Nivdort.CW

Felfedezés dátuma

2016.01.21.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows

Összefoglaló

A Nivdort.CW trójai kifejezetten adatlopási célokat szolgál. Ehhez számos olyan összetevővel rendelkezik, amik különböző módon képesek értékes információkhoz juttatni a vírusterjesztőket. Ez esetben sem hiányzik a billentyűleütések naplózására alkalmas komponens, amely éberen figyeli a felhasználó által megadott adatokat. Emellett a trójai alkalmas alkalmazások megfigyelésére, böngészési előzmények lementésére, hitelkártyaszámok gyűjtésére, és nem utolsó sorban felhasználónevek, illetve jelszavak megkaparintására.

A Nivdort.CW a webes adatforgalomba próbálja elrejteni a vezérlőszervereivel folytatott kommunikációját, és a szokványos, 80-as porton keresztül szivárogtatja ki az értékes információkat.

Leírás

1. Létrehozza a következő állományokat:
%ProgramData%microsoftracstatedataracmetadata.dat
c:iqtahjowhylqujzkewlsbyts.exe
c:iqtahjowhylqujzwv0n67tarvdeb8on.exe
c:iqtahjowhylqujzyjhrngjw.exe

2. Különböző folyamatokat fertőz meg, és azok mögül végzi a további feladatait.

3. Folyamatosan naplózza a billentyűleütéseket.

4. Monitorozza a megnyitott alkalmazásokat.

5. Lementi a böngészési előzményeket.

6. Hitelkártyaszámokat gyűjt össze.

7. Felhasználóneveket és jelszavakat gyűjt össze.

8. Adathalászat elősegítése érdekében hamis weboldalakat jelenít meg.

9. Kapcsolódik a vezérlőszervereihez a 80-as TCP porton keresztül:

  • alonealmost.net
  • alonereason.net
  • chiefalmost.net
  • chieforderly.net
  • chiefreason.net
  • chiefvalue.net
  • collegealmost.net
  • collegeorderly.net
  • collegereason.net
  • collegevalue.net
  • oftenalmost.net
  • oftenorderly.net
  • oftenreason.net
  • presentalmost.net
  • presentorderly.net
  • presentreason.net
  • presentvalue.net
  • quietbattle.net
  • quietmayor.net
  • seasonbattle.net
  • seasonmayor.net
  • thinkalmost.net
  • thinkorderly.net
  • thinkreason.net
  • thinkvalue.net

10. Feltölti az összegyűjtött adatokat.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se
  • Ne nyisson meg imeretlen feladótól érkező üzeneteteket.
  • Használjon naprakész vírusírtó szofvert

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Trójai

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.microsoft.com
Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2025-54313 – Prettier eslint-config-prettier Embedded Malicious Code sérülékenység
CVE-2025-31125 – Vite Vitejs Improper Access Control sérülékenység
CVE-2025-34026 – Versa Concerto Improper Authentication sérülékenység
CVE-2025-68645 – Synacor Zimbra Collaboration Suite (ZCS) PHP Remote File Inclusion sérülékenység
CVE-2026-20045 – Cisco Unified Communications Products Code Injection sérülékenység
CVE-2026-22844 – Zoom Node Multimedia Routers sérülékenysége
CVE-2025-14533 – WordPress ACF Extended Plugin sérülékenysége
CVE-2026-23550 – WordPress Modular DS plugin Privilege Escalation sérülékenysége
CVE-2023-31096 – Windows Agere Soft Modem Driver Elevation of Privilege sérülékenység
CVE-2026-21265 – Secure Boot Certificate Expiration Security Feature Bypass sérülékenység
Tovább a sérülékenységekhez »