Trojan.Rapidstealer


2014. május 21. 10:55

CH azonosító

CH-11130

Angol cím

Trojan.Rapidstealer

Felfedezés dátuma

2014.05.20.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7
Windows Vista
Windows XP

Érintett verziók

Windows 7
Windows Vista
Windows XP

Összefoglaló

A Rapidstealer trójai adatlopásra specializálódott. A legfontosabb feladata, hogy azokat az információkat gyűjtse össze a számítógépekről, amelyeket az adattolvajok a saját céljukra tudnak használni. A rendszerinformációkat kérdezi le először a károkozó, majd a felhasználói fiókokra, hálózati beállításokra és az operációs rendszerre vonatkozó adatokat menti le.

Folyamatosan naplózza a billentyűleütéseket és képernyőképet készít. Időközönként a vágólap tartalmát lementi. A Rapidstealer figyelmét a webböngészők sem kerülik el, a kártevő a cookie-kat, elmentett böngészési adatokat és a beállításokat exportálja ki. A trójai a következő böngészőkkel kompatibilis: Opera, Firefox, Chrome és Internet Explorer. Felhasználói adatokat képes kinyerni az azonnali üzenetküldőkből (Google Talk, Pidgin, Skype, Yahoo!, Messenger).

A Rapidstealer trójai a álcázza magát Ultrasurf, GerdooVPN és Psiphon nevű VPN-alkalmazásoknak, és egy hamis Intel program formájában kerül a számítógépekre.

Leírás

1.A következő állományokat hozza létre:
%UserProfile%Application DataIntelRapidStartDelphiNative.dll
%UserProfile%Application DataIntelRapidStartIntelRS.exe.config
%UserProfile%Application DataIntelRapidStartAppTransferWiz.dll
%UserProfile%Application DataIntelRapidStartIntelRS.exe
%UserProfile%Application DataIntelRapidStartRapidStartTech.stl
2.Az alábbi értékeket hozzáadja a regisztrációs adatbázishoz:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”IntelRapidStart”=%UserProfile%Application DataIntelRapidStartIntelRS.exe
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”IntelRapidStart”=%UserProfile%Application DataIntelRapidStartIntelRS.exe
3.Összegyűjti a rendszerinformációkat:
– a számítógép neve
– felhasználónevek
– a vágólap tartalma
– IP-cím
– nyitott portok
– folyamatok listája
– területi beállítások
– telepített alkalmazások.
4.A billentyűleütéseket folyamatosan naplózza.
5.Képernyőképeket készít rendszeresen.
6.Az eltárolt adatokat exportálja ki a webböngészők által.
7.Meghatározott távoli szerverekre feltölti az összegyűjtött adatokat.
8.A saját állományait frissíti.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »