Crisis

CH azonosító

CH-12460

Angol cím

Crisis

Felfedezés dátuma

2015.07.19.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Crisis trójai egy hátsó kapun keresztül szivárogtatja ki a bizalmas adatokat az áldozatául eső számítógépekről.

Leírás

Valójában nem is ez a hátsó kapu a legérdekesebb része a károkozónak, hanem a kémkedési célokat szolgáló összetevői. Ezek révén ugyanis számos módszer felhasználásával tudja összegyűjteni a bizalmas, titkos információkat. A trójai képességei között szerepel egyebek mellett a mikrofonnal és webkamerával történő kémkedés, a Skype hívások lementése, az egérrel végzett műveletek megfigyelése és a fájlrendszerből történő adatgyűjtés is. 

A Crisis a rendszerinformációk lekérdezése után rögtön nekilát a webböngészőkben tárolt bizalmas adatok kiexportálásához. Felhasználóneveket, jelszavakat és böngészési előzményeket is kigyűjt. Ezt követően e-mail kliensekhez és azonnali üzenetküldőkhöz tartozó felhasználói adatokat igyekszik bezsebelni. Eközben pedig rendszeresen lementi a vágólap tartalmát.

A Crisis olyan rootkit komponensekkel is rendelkezik, amelyek révén meglehetősen hatékonyan tudja rejtve végezni a tevékenységét.

Technikai részletek:

1. Létrehozza a következő állományokat:
[naplózásra szolgáló könyvtár][véletlenszerű karakterek]LOGF[véletlenszerű karakterek].log
[naplózásra szolgáló könyvtár]OUTF[véletlenszerű karakterek].log

2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_LOCAL_MACHINESOFTWAREMicrosofctWindowsCurrentVersionRun”rundll32.exe” = “[a trójai elérési útvonala][ véletlenszerű karakterek]”
HKEY_LOCAL_MACHINESOFTWAREMicrosofctWindowsCurrentVersionRunOnce”rundll32.exe” = “[ a trójai elérési útvonala][ véletlenszerű karakterek]”

3. Kapcsolódik egy távoli kiszolgálóhoz.

4. Különféle információkat gyűjt össze.

5. A mikrofon és a webkamera felhasználásával kémkedik.

6. Feltérképezi a számítógépen lévő fájlrendszert.

7. Rögzíti a Skype beszélgetéseket.

8. Folyamatosan naplózza az egérrel végzett műveleteket.

9. Rootkit összetevők segítségével elrejti a saját komponenseit.

10. Az összegyűjtött adatokat kiszivárogtatja.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.