Nitovel trójai

CH azonosító

CH-12295

Angol cím

Nitovel

Felfedezés dátuma

2015.06.01.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Nitovel trójai egy régóta ismert trükköt alkalmaz ahhoz, hogy a rendszereken minél kevesebb feltűnést keltsen. A kártékony program az ADS (Alternate Data Streams) adta előnyökkel él vissza, és a felhasználó Temp könyvtára mögé igyekszik elrejtőzni. Ennek következtében a Windows Intézőben, illetve a hagyományos fájlkezelő alkalmazásokban sem látható az a két állománya, amelyek a trójai működéséhez elengedhetetlenek.

Leírás

A Nitovelnek mindössze egy feladata van, de azt üzembiztosan képes elvégezni. A károkozó a rendszeren futó folyamatokhoz tartozó memóriaterületeket kémleli, és bank-, illetve hitelkártyákhoz tartozó (track 1, track 2) adatokat próbál kigyűjteni. Amennyiben ez sikerül számára, akkor az értékes információkat – titkosított csatornán keresztül – feltölti távoli kiszolgálókra.

Technikai részletek

1. Felmásolja a rendszerre a saját kódját a következők szerint:
%UserProfile%Local SettingsTemp:defrag.scr
%UserProfile%Local SettingsTemp:defrag.vbs

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_LOCAL_MACHINELMSOFTWAREMicrosoftWindowsCurrentVersionRun”Defrag” = “wscript %UserProfile%Local SettingsTemp:defrag.vbs”

3. Bank- és hitelkártyákhoz kapcsolódó adatokat keres egyes folyamatokhoz tartozó memóriaterületek folyamatos monitorozásával.

4. Az összegyűjtött adatokat feltölti előre meghatározott távoli kiszolgálókra. Ehhez titkosított, HTTPS kapcsolatot használ.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »