Nivdort.CW trójai


2016. január 25. 12:24

CH azonosító

CH-12976

Angol cím

TrojanSpy: Win32/Nivdort.CW

Felfedezés dátuma

2016.01.21.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows

Összefoglaló

A Nivdort.CW trójai kifejezetten adatlopási célokat szolgál. Ehhez számos olyan összetevővel rendelkezik, amik különböző módon képesek értékes információkhoz juttatni a vírusterjesztőket. Ez esetben sem hiányzik a billentyűleütések naplózására alkalmas komponens, amely éberen figyeli a felhasználó által megadott adatokat. Emellett a trójai alkalmas alkalmazások megfigyelésére, böngészési előzmények lementésére, hitelkártyaszámok gyűjtésére, és nem utolsó sorban felhasználónevek, illetve jelszavak megkaparintására.

A Nivdort.CW a webes adatforgalomba próbálja elrejteni a vezérlőszervereivel folytatott kommunikációját, és a szokványos, 80-as porton keresztül szivárogtatja ki az értékes információkat.

Leírás

1. Létrehozza a következő állományokat:
%ProgramData%microsoftracstatedataracmetadata.dat
c:iqtahjowhylqujzkewlsbyts.exe
c:iqtahjowhylqujzwv0n67tarvdeb8on.exe
c:iqtahjowhylqujzyjhrngjw.exe

2. Különböző folyamatokat fertőz meg, és azok mögül végzi a további feladatait.

3. Folyamatosan naplózza a billentyűleütéseket.

4. Monitorozza a megnyitott alkalmazásokat.

5. Lementi a böngészési előzményeket.

6. Hitelkártyaszámokat gyűjt össze.

7. Felhasználóneveket és jelszavakat gyűjt össze.

8. Adathalászat elősegítése érdekében hamis weboldalakat jelenít meg.

9. Kapcsolódik a vezérlőszervereihez a 80-as TCP porton keresztül:

  • alonealmost.net
  • alonereason.net
  • chiefalmost.net
  • chieforderly.net
  • chiefreason.net
  • chiefvalue.net
  • collegealmost.net
  • collegeorderly.net
  • collegereason.net
  • collegevalue.net
  • oftenalmost.net
  • oftenorderly.net
  • oftenreason.net
  • presentalmost.net
  • presentorderly.net
  • presentreason.net
  • presentvalue.net
  • quietbattle.net
  • quietmayor.net
  • seasonbattle.net
  • seasonmayor.net
  • thinkalmost.net
  • thinkorderly.net
  • thinkreason.net
  • thinkvalue.net

10. Feltölti az összegyűjtött adatokat.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se
  • Ne nyisson meg imeretlen feladótól érkező üzeneteteket.
  • Használjon naprakész vírusírtó szofvert

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Trójai

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.microsoft.com
Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-24228 – Apple sebezhetősége
CVE-2025-24097 – Apple sebezhetősége
CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége
CVE-2025-1268 – Canon sebezhetősége
CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
Tovább a sérülékenységekhez »