Explod trójai


2015. április 14. 10:30

CH azonosító

CH-12146

Angol cím

Trojan.Explod

Felfedezés dátuma

2015.04.13.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000
Windows 7Windows 95
Windows 98
Windows Me
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Összefoglaló

Az Explod trójai készítői kifejezetten adatlopási célokkal hozták létre a  káros kódot. A károkozó jellemzőinek áttekintésekor világossá válik, hogy az nem kizárólag az egyéni felhasználók körében tud károkat okozni, hanem vállalati környezetekben is. Ezt támasztja alá például, hogy a távoli asztali kapcsolatokhoz tartozó csatlakozási és hitelesítő adatokat is megkaparintja, amivel a terjesztői, például egy hátsó kapun keresztül, különféle vállalati rendszerekhez férhetnek hozzá.

Az Explod a kémkedése során különös figyelmet szentel az Internet Explorer, az Outlook, valamint az Outlook Express alkalmazások által eltárolt felhasználói, illetve postafiók adatoknak. Mindezek mellett rendszeresen lementi a vágólap tartalmát, és folyamatosan kémleli a billentyűleütéseket. A megkaparintott adatokat távoli kiszolgálókra tölti fel, melyek címét egy DGA (domain generation algorithm) algoritmus segítségével generálja.

Leírás

1. Létrehozza a következő állományokat:
%Windir%MicrosoftConfig.Msisdata.sys
%Windir%MicrosoftConfig.Msipdata.sys
%Windir%MicrosoftConfig.Msiprdata.sys
%Windir%MicrosoftConfig.Msipdata.sysTEMPsystmp2.dat
%Windir%MicrosoftConfig.Msipdata.sysTEMPsystmp.dat

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”winrpt” = „[a trójai elérési útvonala]”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMicrosoftServices”ImagePath” = „[a trójai elérési útvonala]”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMicrosoftServices”DisplayName” = „Microsoft Services”

3. Csatlakozik egy távoli kiszolgálóhoz, és nyit egy hátsó kaput.

4. Naplózza a billentyűleütéseket.

5. Összegyűjti az alábbi információkat:
– az Internet Explorer által eltárolt felhasználói adatok
– az Outlook és az Outlook Express alkalmazásokban felvett postafiókok azonosítói
– Windows Live és MSN Messenger hitelesítő adatok
– a vágólap tartalma
– távoli asztali kapcsolatokkal összefüggésbe hozható adatok.

6. További kártékony programokat tölt le, illetve futtat.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
CVE-2024-1874 – PHP sérülékenysége
CVE-2024-24576 – Rust sérülékenysége
CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége
CVE-2024-29988 – Microsoft Windows SmartScreen sérülékenysége
CVE-2024-26234 – Microsoft Windows proxy driver sérülékenysége
CVE-2023-6320 – LG webOS sérülékenysége
Tovább a sérülékenységekhez »