Crisis


2015. július 22. 09:56

CH azonosító

CH-12460

Angol cím

Crisis

Felfedezés dátuma

2015.07.19.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Crisis trójai egy hátsó kapun keresztül szivárogtatja ki a bizalmas adatokat az áldozatául eső számítógépekről.

Leírás

Valójában nem is ez a hátsó kapu a legérdekesebb része a károkozónak, hanem a kémkedési célokat szolgáló összetevői. Ezek révén ugyanis számos módszer felhasználásával tudja összegyűjteni a bizalmas, titkos információkat. A trójai képességei között szerepel egyebek mellett a mikrofonnal és webkamerával történő kémkedés, a Skype hívások lementése, az egérrel végzett műveletek megfigyelése és a fájlrendszerből történő adatgyűjtés is. 

A Crisis a rendszerinformációk lekérdezése után rögtön nekilát a webböngészőkben tárolt bizalmas adatok kiexportálásához. Felhasználóneveket, jelszavakat és böngészési előzményeket is kigyűjt. Ezt követően e-mail kliensekhez és azonnali üzenetküldőkhöz tartozó felhasználói adatokat igyekszik bezsebelni. Eközben pedig rendszeresen lementi a vágólap tartalmát.

A Crisis olyan rootkit komponensekkel is rendelkezik, amelyek révén meglehetősen hatékonyan tudja rejtve végezni a tevékenységét.

Technikai részletek:

1. Létrehozza a következő állományokat:
[naplózásra szolgáló könyvtár][véletlenszerű karakterek]LOGF[véletlenszerű karakterek].log
[naplózásra szolgáló könyvtár]OUTF[véletlenszerű karakterek].log

2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_LOCAL_MACHINESOFTWAREMicrosofctWindowsCurrentVersionRun”rundll32.exe” = “[a trójai elérési útvonala][ véletlenszerű karakterek]”
HKEY_LOCAL_MACHINESOFTWAREMicrosofctWindowsCurrentVersionRunOnce”rundll32.exe” = “[ a trójai elérési útvonala][ véletlenszerű karakterek]”

3. Kapcsolódik egy távoli kiszolgálóhoz.

4. Különféle információkat gyűjt össze.

5. A mikrofon és a webkamera felhasználásával kémkedik.

6. Feltérképezi a számítógépen lévő fájlrendszert.

7. Rögzíti a Skype beszélgetéseket.

8. Folyamatosan naplózza az egérrel végzett műveleteket.

9. Rootkit összetevők segítségével elrejti a saját komponenseit.

10. Az összegyűjtött adatokat kiszivárogtatja.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
backdoor

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »