Crisis


2015. július 22. 09:56

CH azonosító

CH-12460

Angol cím

Crisis

Felfedezés dátuma

2015.07.19.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Crisis trójai egy hátsó kapun keresztül szivárogtatja ki a bizalmas adatokat az áldozatául eső számítógépekről.

Leírás

Valójában nem is ez a hátsó kapu a legérdekesebb része a károkozónak, hanem a kémkedési célokat szolgáló összetevői. Ezek révén ugyanis számos módszer felhasználásával tudja összegyűjteni a bizalmas, titkos információkat. A trójai képességei között szerepel egyebek mellett a mikrofonnal és webkamerával történő kémkedés, a Skype hívások lementése, az egérrel végzett műveletek megfigyelése és a fájlrendszerből történő adatgyűjtés is. 

A Crisis a rendszerinformációk lekérdezése után rögtön nekilát a webböngészőkben tárolt bizalmas adatok kiexportálásához. Felhasználóneveket, jelszavakat és böngészési előzményeket is kigyűjt. Ezt követően e-mail kliensekhez és azonnali üzenetküldőkhöz tartozó felhasználói adatokat igyekszik bezsebelni. Eközben pedig rendszeresen lementi a vágólap tartalmát.

A Crisis olyan rootkit komponensekkel is rendelkezik, amelyek révén meglehetősen hatékonyan tudja rejtve végezni a tevékenységét.

Technikai részletek:

1. Létrehozza a következő állományokat:
[naplózásra szolgáló könyvtár][véletlenszerű karakterek]LOGF[véletlenszerű karakterek].log
[naplózásra szolgáló könyvtár]OUTF[véletlenszerű karakterek].log

2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_LOCAL_MACHINESOFTWAREMicrosofctWindowsCurrentVersionRun”rundll32.exe” = “[a trójai elérési útvonala][ véletlenszerű karakterek]”
HKEY_LOCAL_MACHINESOFTWAREMicrosofctWindowsCurrentVersionRunOnce”rundll32.exe” = “[ a trójai elérési útvonala][ véletlenszerű karakterek]”

3. Kapcsolódik egy távoli kiszolgálóhoz.

4. Különféle információkat gyűjt össze.

5. A mikrofon és a webkamera felhasználásával kémkedik.

6. Feltérképezi a számítógépen lévő fájlrendszert.

7. Rögzíti a Skype beszélgetéseket.

8. Folyamatosan naplózza az egérrel végzett műveleteket.

9. Rootkit összetevők segítségével elrejti a saját komponenseit.

10. Az összegyűjtött adatokat kiszivárogtatja.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
backdoor

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2025-59505 – Windows Smart Card Reader Elevation of Privilege sérülékenysége
CVE-2025-59511 – Windows WLAN Service Elevation of Privilege sérülékenysége
CVE-2021-26828 – OpenPLC ScadaBR Unrestricted Upload of File with Dangerous Type sérülékenysége
CVE‑2025‑13486 – WordPress Advanced Custom Fields: Extended plugin sérülékenység
CVE-2025-8489 – WordPress King Addons for Elementor plugin sérülékenysége
CVE-2025-9491 – Microsoft Windows LNK File UI Misrepresentation Remote Code Execution sebezhetősége
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2021-26829 – OpenPLC ScadaBR Cross-site Scripting sérülékenysége
CVE-2024-53375 – TP-Link sérülékenysége
CVE-2025-4581 – Liferay sérülékenysége
Tovább a sérülékenységekhez »