Explod trójai


2015. április 14. 10:30

CH azonosító

CH-12146

Angol cím

Trojan.Explod

Felfedezés dátuma

2015.04.13.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000
Windows 7Windows 95
Windows 98
Windows Me
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Összefoglaló

Az Explod trójai készítői kifejezetten adatlopási célokkal hozták létre a  káros kódot. A károkozó jellemzőinek áttekintésekor világossá válik, hogy az nem kizárólag az egyéni felhasználók körében tud károkat okozni, hanem vállalati környezetekben is. Ezt támasztja alá például, hogy a távoli asztali kapcsolatokhoz tartozó csatlakozási és hitelesítő adatokat is megkaparintja, amivel a terjesztői, például egy hátsó kapun keresztül, különféle vállalati rendszerekhez férhetnek hozzá.

Az Explod a kémkedése során különös figyelmet szentel az Internet Explorer, az Outlook, valamint az Outlook Express alkalmazások által eltárolt felhasználói, illetve postafiók adatoknak. Mindezek mellett rendszeresen lementi a vágólap tartalmát, és folyamatosan kémleli a billentyűleütéseket. A megkaparintott adatokat távoli kiszolgálókra tölti fel, melyek címét egy DGA (domain generation algorithm) algoritmus segítségével generálja.

Leírás

1. Létrehozza a következő állományokat:
%Windir%MicrosoftConfig.Msisdata.sys
%Windir%MicrosoftConfig.Msipdata.sys
%Windir%MicrosoftConfig.Msiprdata.sys
%Windir%MicrosoftConfig.Msipdata.sysTEMPsystmp2.dat
%Windir%MicrosoftConfig.Msipdata.sysTEMPsystmp.dat

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”winrpt” = “[a trójai elérési útvonala]”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMicrosoftServices”ImagePath” = “[a trójai elérési útvonala]”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMicrosoftServices”DisplayName” = “Microsoft Services”

3. Csatlakozik egy távoli kiszolgálóhoz, és nyit egy hátsó kaput.

4. Naplózza a billentyűleütéseket.

5. Összegyűjti az alábbi információkat:
– az Internet Explorer által eltárolt felhasználói adatok
– az Outlook és az Outlook Express alkalmazásokban felvett postafiókok azonosítói
– Windows Live és MSN Messenger hitelesítő adatok
– a vágólap tartalma
– távoli asztali kapcsolatokkal összefüggésbe hozható adatok.

6. További kártékony programokat tölt le, illetve futtat.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-33073 – Windows SMB Client Elevation of Privilege sérülékenysége
CVE-2025-2254 – GitLab CE/EE sérülékenysége
CVE-2022-30190 – Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution sérülékenysége
CVE-2025-24016 – Wazuh Server Deserialization of Untrusted Data sérülékenysége
CVE-2025-33053 – Web Distributed Authoring and Versioning (WebDAV) External Control of File Name or Path sérülékenysége
CVE-2025-32433 – Erlang Erlang/OTP SSH Server Missing Authentication for Critical Function sérülékenysége
CVE-2024-42009 – RoundCube Webmail Cross-Site Scripting sérülékenysége
CVE-2025-21479 – Qualcomm Multiple Chipsets Incorrect Authorization sérülékenysége
CVE-2025-5419 – Google Chromium V8 Out-of-Bounds Read and Write sérülékenysége
Tovább a sérülékenységekhez »