Kasidet.XXRO trójai


2015. november 17. 08:19

CH azonosító

CH-12780

Angol cím

BKDR_KASIDET.XXRO

Felfedezés dátuma

2015.11.15.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows XP, Windows Vista, Windows 7. Windows 8, Windows 10

Összefoglaló

A Kasidet.XXRO trójai viszonylag nagy káoszt képes okozni az általa kompromittált rendszereken. Különféle ütemezett feladatok létrehozásával és a regisztrációs adatbázis manipulálásával gondoskodik arról, hogy zavartalanul tudjon futni a rendszereken. Ehhez azonban arra is szüksége van, hogy a célkeresztbe állított számítógép ne virtuális környezetben fusson, vagy ne sandboxban legyen. A trójai különösen érzékeny a VMware, valamint a VirtualBox megoldásokra. Ha ezek jelenlétét észleli, akkor rögtön leáll, azt feltételezve, hogy az adott rendszer a leleplezését szolgálja.

A Kasidet.XXRO egy olyan hátsó kaput hoz létre, amelyen keresztül az alábbi feladatok kezdeményezhetők:

  • fájlok letöltése
  • fájlműveletek
  • a regisztrációs adatbázis módosítása
  • a trójai frissítése
  • elosztott szolgáltatásmegtagadási támadások kezdeményezése
  • billentyűleütések naplózása
  • a vágólap tartalmának lementése.

Leírás

1. Létrehozza a következő könyvtárat:
%Application Data%WlVjY2kx

2. Létrehozza az alábbi állományokat:
%Windows%TasksWlVjY2kx.job
%Windows%kernel32.dll
%Systems%TasksWlVjY2kx
%Application Data%WlVjY2kx[véletlenszerű fájlnév].exe

3. Egy mutex segítségével biztosítja, hogy egyszerre csak egy példányban fusson.

4. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun[véletlenszerű fájlnév].exe = “%Application Data%WlVjY2kx[véletlenszerű fájlnév].exe”
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun[véletlenszerű fájlnév].exe = “%Application Data%WlVjY2kx[véletlenszerű fájlnév].exe”

5. Csatlakozik távoli vezérlőszerverekhez.

6. Nyit egy hátsó kaput, és fogadja a támadók parancsait.

7. Rendszerinformációkat gyűjt össze, beleértve az operációs rendszerre, valamint a futó védelmi szoftverekre vonatkozó paramétereket is.

8. Feltérképezi a memóriát és bank-, illetve hitelkártyákra vonatkozó adatokat gyűjt össze. Az alábbi folyamatokra különösen figyel:
smss.exe
csrss.exe
winlogon.exe
lsass.exe
spoolsv.exe
devenv.exe

9. Megfertőzi, illetve manipulálja az alábbi alkalmazásokat:
Firefox
Chrome
Internet Explorer
Debugger

10. Leállítja a működését, ha sandboxra, illetve virtualizációs megoldásokra utaló jeleket észlel.

Megoldás

Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Information disclosure (Információ/adat szivárgás)
Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
backdoor

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.trendmicro.com
Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2026-1603 – Ivanti Endpoint Manager (EPM) Authentication Bypass sérülékenység
CVE-2025-26399 – SolarWinds Web Help Desk Deserialization of Untrusted Data sérülékenység
CVE-2021-22054 – Omnissa Workspace ONE Server-Side Request Forgery sérülékenység
CVE-2023-41974 – Apple iOS and iPadOS Use-After-Free sérülékenység
CVE-2021-30952 – Apple Multiple Products Integer Overflow or Wraparound sérülékenység
CVE-2023-43000 – Apple Multiple products Use-After-Free sérülékenység
CVE-2021-22681 – Rockwell Multiple Products Insufficient Protected Credentials sérülékenység
CVE-2017-7921 – Hikvision Multiple Products Improper Authentication sérülékenység
CVE-2026-27636 – FreeScout sérülékenysége
CVE-2026-28289 – FreeScout sérülékenysége
Tovább a sérülékenységekhez »