Kasidet.XXRO trójai


2015. november 17. 08:19

CH azonosító

CH-12780

Angol cím

BKDR_KASIDET.XXRO

Felfedezés dátuma

2015.11.15.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows XP, Windows Vista, Windows 7. Windows 8, Windows 10

Összefoglaló

A Kasidet.XXRO trójai viszonylag nagy káoszt képes okozni az általa kompromittált rendszereken. Különféle ütemezett feladatok létrehozásával és a regisztrációs adatbázis manipulálásával gondoskodik arról, hogy zavartalanul tudjon futni a rendszereken. Ehhez azonban arra is szüksége van, hogy a célkeresztbe állított számítógép ne virtuális környezetben fusson, vagy ne sandboxban legyen. A trójai különösen érzékeny a VMware, valamint a VirtualBox megoldásokra. Ha ezek jelenlétét észleli, akkor rögtön leáll, azt feltételezve, hogy az adott rendszer a leleplezését szolgálja.

A Kasidet.XXRO egy olyan hátsó kaput hoz létre, amelyen keresztül az alábbi feladatok kezdeményezhetők:

  • fájlok letöltése
  • fájlműveletek
  • a regisztrációs adatbázis módosítása
  • a trójai frissítése
  • elosztott szolgáltatásmegtagadási támadások kezdeményezése
  • billentyűleütések naplózása
  • a vágólap tartalmának lementése.

Leírás

1. Létrehozza a következő könyvtárat:
%Application Data%WlVjY2kx

2. Létrehozza az alábbi állományokat:
%Windows%TasksWlVjY2kx.job
%Windows%kernel32.dll
%Systems%TasksWlVjY2kx
%Application Data%WlVjY2kx[véletlenszerű fájlnév].exe

3. Egy mutex segítségével biztosítja, hogy egyszerre csak egy példányban fusson.

4. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun[véletlenszerű fájlnév].exe = “%Application Data%WlVjY2kx[véletlenszerű fájlnév].exe”
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun[véletlenszerű fájlnév].exe = “%Application Data%WlVjY2kx[véletlenszerű fájlnév].exe”

5. Csatlakozik távoli vezérlőszerverekhez.

6. Nyit egy hátsó kaput, és fogadja a támadók parancsait.

7. Rendszerinformációkat gyűjt össze, beleértve az operációs rendszerre, valamint a futó védelmi szoftverekre vonatkozó paramétereket is.

8. Feltérképezi a memóriát és bank-, illetve hitelkártyákra vonatkozó adatokat gyűjt össze. Az alábbi folyamatokra különösen figyel:
smss.exe
csrss.exe
winlogon.exe
lsass.exe
spoolsv.exe
devenv.exe

9. Megfertőzi, illetve manipulálja az alábbi alkalmazásokat:
Firefox
Chrome
Internet Explorer
Debugger

10. Leállítja a működését, ha sandboxra, illetve virtualizációs megoldásokra utaló jeleket észlel.

Megoldás

Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Information disclosure (Információ/adat szivárgás)
Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
backdoor

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.trendmicro.com
Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-61757 – Oracle Fusion Middleware Missing Authentication for Critical Function sérülékenysége
CVE-2024-12912 – ASUS Router AiCloud sérülékenysége
CVE-2025-11001 – 7-Zip sérülékenysége
CVE-2025-58034 – Fortinet FortiWeb OS Command Injection sérülékenysége
CVE-2025-13224 – Google Chrome sérülékenysége
CVE-2025-13223 – Google Chromium V8 Type Confusion sérülékenysége
CVE-2025-24893 – XWiki Platform Eval Injection sérülékenysége
CVE-2025-25256 – Fortinet FortiSIEM sebezhetősége
CVE-2022-40684 – Fortinet Multiple Products Authentication Bypass sebezhetősége
Tovább a sérülékenységekhez »