Nivdort.CW trójai


2016. január 25. 12:24

CH azonosító

CH-12976

Angol cím

TrojanSpy: Win32/Nivdort.CW

Felfedezés dátuma

2016.01.21.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows

Összefoglaló

A Nivdort.CW trójai kifejezetten adatlopási célokat szolgál. Ehhez számos olyan összetevővel rendelkezik, amik különböző módon képesek értékes információkhoz juttatni a vírusterjesztőket. Ez esetben sem hiányzik a billentyűleütések naplózására alkalmas komponens, amely éberen figyeli a felhasználó által megadott adatokat. Emellett a trójai alkalmas alkalmazások megfigyelésére, böngészési előzmények lementésére, hitelkártyaszámok gyűjtésére, és nem utolsó sorban felhasználónevek, illetve jelszavak megkaparintására.

A Nivdort.CW a webes adatforgalomba próbálja elrejteni a vezérlőszervereivel folytatott kommunikációját, és a szokványos, 80-as porton keresztül szivárogtatja ki az értékes információkat.

Leírás

1. Létrehozza a következő állományokat:
%ProgramData%microsoftracstatedataracmetadata.dat
c:iqtahjowhylqujzkewlsbyts.exe
c:iqtahjowhylqujzwv0n67tarvdeb8on.exe
c:iqtahjowhylqujzyjhrngjw.exe

2. Különböző folyamatokat fertőz meg, és azok mögül végzi a további feladatait.

3. Folyamatosan naplózza a billentyűleütéseket.

4. Monitorozza a megnyitott alkalmazásokat.

5. Lementi a böngészési előzményeket.

6. Hitelkártyaszámokat gyűjt össze.

7. Felhasználóneveket és jelszavakat gyűjt össze.

8. Adathalászat elősegítése érdekében hamis weboldalakat jelenít meg.

9. Kapcsolódik a vezérlőszervereihez a 80-as TCP porton keresztül:

  • alonealmost.net
  • alonereason.net
  • chiefalmost.net
  • chieforderly.net
  • chiefreason.net
  • chiefvalue.net
  • collegealmost.net
  • collegeorderly.net
  • collegereason.net
  • collegevalue.net
  • oftenalmost.net
  • oftenorderly.net
  • oftenreason.net
  • presentalmost.net
  • presentorderly.net
  • presentreason.net
  • presentvalue.net
  • quietbattle.net
  • quietmayor.net
  • seasonbattle.net
  • seasonmayor.net
  • thinkalmost.net
  • thinkorderly.net
  • thinkreason.net
  • thinkvalue.net

10. Feltölti az összegyűjtött adatokat.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se
  • Ne nyisson meg imeretlen feladótól érkező üzeneteteket.
  • Használjon naprakész vírusírtó szofvert

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Trójai

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.microsoft.com
Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-2492 – ASUS Router AiCloud sérülékenysége
CVE-2025-42599 – Active! mail sérülékenysége
CVE-2025-31200 – Apple Memory Corruption sérülékenysége
CVE-2025-31201 – Apple Pointer Authentication sérülékenysége
CVE-2025-20236 – Cisco Webex App sebezhetősége
CVE-2017-5754 – Linux Kernel sebezhetősége
CVE-2014-0160 – OpenSSL Information Disclosure sebezhetősége
CVE-2025-23010 – SonicWall NetExtender Improper Link Resolution Before File Access ('Link Following') sebezhetősége
CVE-2025-23009 – SonicWall NetExtender Local Privilege Escalation sebezhetősége
Tovább a sérülékenységekhez »