Crisis


2015. július 22. 09:56

CH azonosító

CH-12460

Angol cím

Crisis

Felfedezés dátuma

2015.07.19.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Crisis trójai egy hátsó kapun keresztül szivárogtatja ki a bizalmas adatokat az áldozatául eső számítógépekről.

Leírás

Valójában nem is ez a hátsó kapu a legérdekesebb része a károkozónak, hanem a kémkedési célokat szolgáló összetevői. Ezek révén ugyanis számos módszer felhasználásával tudja összegyűjteni a bizalmas, titkos információkat. A trójai képességei között szerepel egyebek mellett a mikrofonnal és webkamerával történő kémkedés, a Skype hívások lementése, az egérrel végzett műveletek megfigyelése és a fájlrendszerből történő adatgyűjtés is. 

A Crisis a rendszerinformációk lekérdezése után rögtön nekilát a webböngészőkben tárolt bizalmas adatok kiexportálásához. Felhasználóneveket, jelszavakat és böngészési előzményeket is kigyűjt. Ezt követően e-mail kliensekhez és azonnali üzenetküldőkhöz tartozó felhasználói adatokat igyekszik bezsebelni. Eközben pedig rendszeresen lementi a vágólap tartalmát.

A Crisis olyan rootkit komponensekkel is rendelkezik, amelyek révén meglehetősen hatékonyan tudja rejtve végezni a tevékenységét.

Technikai részletek:

1. Létrehozza a következő állományokat:
[naplózásra szolgáló könyvtár][véletlenszerű karakterek]LOGF[véletlenszerű karakterek].log
[naplózásra szolgáló könyvtár]OUTF[véletlenszerű karakterek].log

2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_LOCAL_MACHINESOFTWAREMicrosofctWindowsCurrentVersionRun”rundll32.exe” = „[a trójai elérési útvonala][ véletlenszerű karakterek]”
HKEY_LOCAL_MACHINESOFTWAREMicrosofctWindowsCurrentVersionRunOnce”rundll32.exe” = „[ a trójai elérési útvonala][ véletlenszerű karakterek]”

3. Kapcsolódik egy távoli kiszolgálóhoz.

4. Különféle információkat gyűjt össze.

5. A mikrofon és a webkamera felhasználásával kémkedik.

6. Feltérképezi a számítógépen lévő fájlrendszert.

7. Rögzíti a Skype beszélgetéseket.

8. Folyamatosan naplózza az egérrel végzett műveleteket.

9. Rootkit összetevők segítségével elrejti a saját komponenseit.

10. Az összegyűjtött adatokat kiszivárogtatja.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
backdoor

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-26466 – OpenSSH sérülékenysége
CVE-2025-26465 – OpenSSH sérülékenysége
CVE-2024-57727 – SimpleHelp Path Traversal sebezhetősége
CVE-2024-53704 – SonicOS SSLVPN Authentication Bypass sebezhetősége
CVE-2025-1094 – PostgreSQL sérülékenysége
CVE-2025-21377 – NTLM Hash Disclosure Spoofing sebezhetősége
CVE-2025-21194 – Microsoft Surface Security Feature Bypass sebezhetősége
CVE-2025-21418 – Windows Ancillary Function Driver for WinSock Elevation of Privilege sebezhetősége
CVE-2025-21391 – Windows Storage Elevation of Privilege sebezhetősége
Tovább a sérülékenységekhez »