Kasidet.XXRO trójai

CH azonosító

CH-12780

Angol cím

BKDR_KASIDET.XXRO

Felfedezés dátuma

2015.11.15.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows XP, Windows Vista, Windows 7. Windows 8, Windows 10

Összefoglaló

A Kasidet.XXRO trójai viszonylag nagy káoszt képes okozni az általa kompromittált rendszereken. Különféle ütemezett feladatok létrehozásával és a regisztrációs adatbázis manipulálásával gondoskodik arról, hogy zavartalanul tudjon futni a rendszereken. Ehhez azonban arra is szüksége van, hogy a célkeresztbe állított számítógép ne virtuális környezetben fusson, vagy ne sandboxban legyen. A trójai különösen érzékeny a VMware, valamint a VirtualBox megoldásokra. Ha ezek jelenlétét észleli, akkor rögtön leáll, azt feltételezve, hogy az adott rendszer a leleplezését szolgálja.

A Kasidet.XXRO egy olyan hátsó kaput hoz létre, amelyen keresztül az alábbi feladatok kezdeményezhetők:

  • fájlok letöltése
  • fájlműveletek
  • a regisztrációs adatbázis módosítása
  • a trójai frissítése
  • elosztott szolgáltatásmegtagadási támadások kezdeményezése
  • billentyűleütések naplózása
  • a vágólap tartalmának lementése.

Leírás

1. Létrehozza a következő könyvtárat:
%Application Data%WlVjY2kx

2. Létrehozza az alábbi állományokat:
%Windows%TasksWlVjY2kx.job
%Windows%kernel32.dll
%Systems%TasksWlVjY2kx
%Application Data%WlVjY2kx[véletlenszerű fájlnév].exe

3. Egy mutex segítségével biztosítja, hogy egyszerre csak egy példányban fusson.

4. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun[véletlenszerű fájlnév].exe = “%Application Data%WlVjY2kx[véletlenszerű fájlnév].exe”
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun[véletlenszerű fájlnév].exe = “%Application Data%WlVjY2kx[véletlenszerű fájlnév].exe”

5. Csatlakozik távoli vezérlőszerverekhez.

6. Nyit egy hátsó kaput, és fogadja a támadók parancsait.

7. Rendszerinformációkat gyűjt össze, beleértve az operációs rendszerre, valamint a futó védelmi szoftverekre vonatkozó paramétereket is.

8. Feltérképezi a memóriát és bank-, illetve hitelkártyákra vonatkozó adatokat gyűjt össze. Az alábbi folyamatokra különösen figyel:
smss.exe
csrss.exe
winlogon.exe
lsass.exe
spoolsv.exe
devenv.exe

9. Megfertőzi, illetve manipulálja az alábbi alkalmazásokat:
Firefox
Chrome
Internet Explorer
Debugger

10. Leállítja a működését, ha sandboxra, illetve virtualizációs megoldásokra utaló jeleket észlel.

Megoldás

Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se