Carbanak.C trójai


2015. szeptember 17. 11:21

CH azonosító

CH-12619

Angol cím

Carbanak.C trojan

Felfedezés dátuma

2015.09.16.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Carbanak trójai korábbi variánsai már bebizonyították, hogy komoly károkhoz tudnak hozzájárulni, de az új verzió képességeit sem szabad lebecsülni. Ez ugyanis éppúgy képes adatlopásra és távoli károkozások elősegítésére, mint az elődjei. A kártékony program meglehetősen jól tud rejtőzködni a fertőzött rendszereken, amelyeken egy jól ismert windows-os folyamatnak álcázza magát. Emellett létrehoz egy saját szolgáltatást is, amellyel biztosítja, hogy a számítógép minden újraindításakor automatikusan be tudjon töltődni.

Leírás

A Carbanak.C egy olyan hátsó kaput létesít a rendszereken, amelyen keresztül egyebek mellett a következő feladatok elvégzésére utasítható:

  • képernyőképek készítése
  • videók rögzítése
  • fájlműveletek
  • programok indítása
  • a trójai állományainak frissítése
  • a számítógép újraindítása. 

A trójai adatszivárogtatásban is szerephez juthat. Nem kizárólag képek, videók felöltésére alkalmas, hanem rendszerinformációk összegyűjtésére is.

Technikai részletek:

1. Létrehozza a következő mappák egyikét:
%All Users Profile%Application DataMozilla
%ProgramData%Mozilla

2. Létrehozza az alábbi fájlok egyikét:
%All Users Profile%Application DataMozillasvchost.exe
%ProgramData%Mozillasvchost.exe

3. Megfertőzi az svchost.exe folyamatot.

4. A regisztrációs adatbázist kiegészíti a következő értékekkel:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[véletlenszerű karakterek]SysImagePath = “%ProgramData%Mozillasvchost.exe”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices[véletlenszerű karakterek]SysImagePath = “%All Users Profile%Application DataMozillasvchost.exe”

5. Létrehoz egy Windows-os szolgáltatást véletlenszerű névvel:
HKEY_LOCAL_MACHINESYSTEMControlSet001Services[véletlenszerű karakterek]Sys

6. Kapcsolódik egy távoli kiszolgálóhoz a 443-as TCP porton keresztül.
7. Nyit egy hátsó kaput, és fogadja a támadók parancsait.
8. Rendszerinformációkat gyűjt össze, illetve szivárogtat ki a vezérlőszerverére.
9. Felmásolja a rendszerre az alábbi fájlok egyikét:
%All Users Profile%Application DataMozilla[véletlenszerű karakterek].bin
%Program Data%Mozilla[véletlenszerű karakterek].bin

Megoldás

  • Naprakész vírusírtó használata.
  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
  • Használjon offline biztonsági mentést!

Támadás típusa

Security bypass (Biztonsági szabályok megkerülése)
Trójai
backdoor

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2026-20127 – Cisco Catalyst SD-WAN Controller and Manager Authentication Bypass sérülékenység
CVE-2022-20775 – Cisco SD-WAN Path Traversal sérülékenység
CVE-2026-21241 – Windows Ancillary Function Driver for WinSock Elevation of Privilege sérülékenység
CVE-2025-40540 – SolarWinds Serv-U Type Confusion Remote Code Execution sérülékenység
CVE-2025-40539 – SolarWinds Serv-U Type Confusion Remote Code Execution sérülékenysége
CVE-2025-40538 – SolarWinds Serv-U Broken Access Control Remote Code Execution sérülékenysége
CVE-2026-25108 – Soliton Systems K.K FileZen OS Command Injection sérülékenység
CVE-2025-68461 – RoundCube Webmail Cross-site Scripting sérülékenység
CVE-2026-22769 – Dell RecoverPoint for Virtual Machines (RP4VMs) Use of Hard-coded Credentials sérülékenység
CVE-2021-22175 – GitLab Server-Side Request Forgery (SSRF) sérülékenység
Tovább a sérülékenységekhez »