Explod trójai


2015. április 14. 10:30

CH azonosító

CH-12146

Angol cím

Trojan.Explod

Felfedezés dátuma

2015.04.13.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000
Windows 7Windows 95
Windows 98
Windows Me
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Összefoglaló

Az Explod trójai készítői kifejezetten adatlopási célokkal hozták létre a  káros kódot. A károkozó jellemzőinek áttekintésekor világossá válik, hogy az nem kizárólag az egyéni felhasználók körében tud károkat okozni, hanem vállalati környezetekben is. Ezt támasztja alá például, hogy a távoli asztali kapcsolatokhoz tartozó csatlakozási és hitelesítő adatokat is megkaparintja, amivel a terjesztői, például egy hátsó kapun keresztül, különféle vállalati rendszerekhez férhetnek hozzá.

Az Explod a kémkedése során különös figyelmet szentel az Internet Explorer, az Outlook, valamint az Outlook Express alkalmazások által eltárolt felhasználói, illetve postafiók adatoknak. Mindezek mellett rendszeresen lementi a vágólap tartalmát, és folyamatosan kémleli a billentyűleütéseket. A megkaparintott adatokat távoli kiszolgálókra tölti fel, melyek címét egy DGA (domain generation algorithm) algoritmus segítségével generálja.

Leírás

1. Létrehozza a következő állományokat:
%Windir%MicrosoftConfig.Msisdata.sys
%Windir%MicrosoftConfig.Msipdata.sys
%Windir%MicrosoftConfig.Msiprdata.sys
%Windir%MicrosoftConfig.Msipdata.sysTEMPsystmp2.dat
%Windir%MicrosoftConfig.Msipdata.sysTEMPsystmp.dat

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”winrpt” = “[a trójai elérési útvonala]”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMicrosoftServices”ImagePath” = “[a trójai elérési útvonala]”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMicrosoftServices”DisplayName” = “Microsoft Services”

3. Csatlakozik egy távoli kiszolgálóhoz, és nyit egy hátsó kaput.

4. Naplózza a billentyűleütéseket.

5. Összegyűjti az alábbi információkat:
– az Internet Explorer által eltárolt felhasználói adatok
– az Outlook és az Outlook Express alkalmazásokban felvett postafiókok azonosítói
– Windows Live és MSN Messenger hitelesítő adatok
– a vágólap tartalma
– távoli asztali kapcsolatokkal összefüggésbe hozható adatok.

6. További kártékony programokat tölt le, illetve futtat.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-20236 – Cisco Webex App sebezhetősége
CVE-2017-5754 – Linux Kernel sebezhetősége
CVE-2014-0160 – OpenSSL Information Disclosure sebezhetősége
CVE-2025-23010 – SonicWall NetExtender Improper Link Resolution Before File Access ('Link Following') sebezhetősége
CVE-2025-23009 – SonicWall NetExtender Local Privilege Escalation sebezhetősége
CVE-2025-23008 – SonicWall NetExtender Improper Privilege Management sebezhetősége
CVE-2024-0132 – NVIDIA Container Toolkit sérülékenysége
CVE-2025-3102 – SureTriggers sérülékenysége
CVE-2025-24859 – Apache Roller sebezhetősége
Tovább a sérülékenységekhez »