Nivdort.CW trójai


2016. január 25. 12:24

CH azonosító

CH-12976

Angol cím

TrojanSpy: Win32/Nivdort.CW

Felfedezés dátuma

2016.01.21.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows

Összefoglaló

A Nivdort.CW trójai kifejezetten adatlopási célokat szolgál. Ehhez számos olyan összetevővel rendelkezik, amik különböző módon képesek értékes információkhoz juttatni a vírusterjesztőket. Ez esetben sem hiányzik a billentyűleütések naplózására alkalmas komponens, amely éberen figyeli a felhasználó által megadott adatokat. Emellett a trójai alkalmas alkalmazások megfigyelésére, böngészési előzmények lementésére, hitelkártyaszámok gyűjtésére, és nem utolsó sorban felhasználónevek, illetve jelszavak megkaparintására.

A Nivdort.CW a webes adatforgalomba próbálja elrejteni a vezérlőszervereivel folytatott kommunikációját, és a szokványos, 80-as porton keresztül szivárogtatja ki az értékes információkat.

Leírás

1. Létrehozza a következő állományokat:
%ProgramData%microsoftracstatedataracmetadata.dat
c:iqtahjowhylqujzkewlsbyts.exe
c:iqtahjowhylqujzwv0n67tarvdeb8on.exe
c:iqtahjowhylqujzyjhrngjw.exe

2. Különböző folyamatokat fertőz meg, és azok mögül végzi a további feladatait.

3. Folyamatosan naplózza a billentyűleütéseket.

4. Monitorozza a megnyitott alkalmazásokat.

5. Lementi a böngészési előzményeket.

6. Hitelkártyaszámokat gyűjt össze.

7. Felhasználóneveket és jelszavakat gyűjt össze.

8. Adathalászat elősegítése érdekében hamis weboldalakat jelenít meg.

9. Kapcsolódik a vezérlőszervereihez a 80-as TCP porton keresztül:

  • alonealmost.net
  • alonereason.net
  • chiefalmost.net
  • chieforderly.net
  • chiefreason.net
  • chiefvalue.net
  • collegealmost.net
  • collegeorderly.net
  • collegereason.net
  • collegevalue.net
  • oftenalmost.net
  • oftenorderly.net
  • oftenreason.net
  • presentalmost.net
  • presentorderly.net
  • presentreason.net
  • presentvalue.net
  • quietbattle.net
  • quietmayor.net
  • seasonbattle.net
  • seasonmayor.net
  • thinkalmost.net
  • thinkorderly.net
  • thinkreason.net
  • thinkvalue.net

10. Feltölti az összegyűjtött adatokat.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se
  • Ne nyisson meg imeretlen feladótól érkező üzeneteteket.
  • Használjon naprakész vírusírtó szofvert

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Trójai

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.microsoft.com
Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »