Crisis


2015. július 22. 09:56

CH azonosító

CH-12460

Angol cím

Crisis

Felfedezés dátuma

2015.07.19.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Crisis trójai egy hátsó kapun keresztül szivárogtatja ki a bizalmas adatokat az áldozatául eső számítógépekről.

Leírás

Valójában nem is ez a hátsó kapu a legérdekesebb része a károkozónak, hanem a kémkedési célokat szolgáló összetevői. Ezek révén ugyanis számos módszer felhasználásával tudja összegyűjteni a bizalmas, titkos információkat. A trójai képességei között szerepel egyebek mellett a mikrofonnal és webkamerával történő kémkedés, a Skype hívások lementése, az egérrel végzett műveletek megfigyelése és a fájlrendszerből történő adatgyűjtés is. 

A Crisis a rendszerinformációk lekérdezése után rögtön nekilát a webböngészőkben tárolt bizalmas adatok kiexportálásához. Felhasználóneveket, jelszavakat és böngészési előzményeket is kigyűjt. Ezt követően e-mail kliensekhez és azonnali üzenetküldőkhöz tartozó felhasználói adatokat igyekszik bezsebelni. Eközben pedig rendszeresen lementi a vágólap tartalmát.

A Crisis olyan rootkit komponensekkel is rendelkezik, amelyek révén meglehetősen hatékonyan tudja rejtve végezni a tevékenységét.

Technikai részletek:

1. Létrehozza a következő állományokat:
[naplózásra szolgáló könyvtár][véletlenszerű karakterek]LOGF[véletlenszerű karakterek].log
[naplózásra szolgáló könyvtár]OUTF[véletlenszerű karakterek].log

2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_LOCAL_MACHINESOFTWAREMicrosofctWindowsCurrentVersionRun”rundll32.exe” = “[a trójai elérési útvonala][ véletlenszerű karakterek]”
HKEY_LOCAL_MACHINESOFTWAREMicrosofctWindowsCurrentVersionRunOnce”rundll32.exe” = “[ a trójai elérési útvonala][ véletlenszerű karakterek]”

3. Kapcsolódik egy távoli kiszolgálóhoz.

4. Különféle információkat gyűjt össze.

5. A mikrofon és a webkamera felhasználásával kémkedik.

6. Feltérképezi a számítógépen lévő fájlrendszert.

7. Rögzíti a Skype beszélgetéseket.

8. Folyamatosan naplózza az egérrel végzett műveleteket.

9. Rootkit összetevők segítségével elrejti a saját komponenseit.

10. Az összegyűjtött adatokat kiszivárogtatja.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
backdoor

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2022-44580 – RichPlugins Plugin For Google Reviews for WordPress sérülékenysége
CVE-2023-23421 – Microsoft Windows sérülékenysége
CVE-2023-23422 – Microsoft Windows sérülékenysége
CVE-2023-23420 – Microsoft Windows sérülékenysége
CVE-2023-23423 – Microsoft Windows sérülékenysége
CVE-2022-39214 – Combodo iTop (aka IT Operations Portal) sérülékenysége
CVE-2022-39216 – Combodo iTop (aka IT Operations Portal), Combodo iTop (aka IT Operations Portal) Community Edition sérülékenysége
CVE-2023-27501 – sap / netweaver application server abap, SAP NetWeaver Application Server ABAP sérülékenysége
CVE-2023-26360 – Adobe ColdFusion Improper Access Control sérülékenysége
CVE-2023-23397 – Microsoft Office Outlook sérülékenysége
Tovább a sérülékenységekhez »