Nivdort.CW trójai

CH azonosító

CH-12976

Angol cím

TrojanSpy: Win32/Nivdort.CW

Felfedezés dátuma

2016.01.21.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows

Összefoglaló

A Nivdort.CW trójai kifejezetten adatlopási célokat szolgál. Ehhez számos olyan összetevővel rendelkezik, amik különböző módon képesek értékes információkhoz juttatni a vírusterjesztőket. Ez esetben sem hiányzik a billentyűleütések naplózására alkalmas komponens, amely éberen figyeli a felhasználó által megadott adatokat. Emellett a trójai alkalmas alkalmazások megfigyelésére, böngészési előzmények lementésére, hitelkártyaszámok gyűjtésére, és nem utolsó sorban felhasználónevek, illetve jelszavak megkaparintására.

A Nivdort.CW a webes adatforgalomba próbálja elrejteni a vezérlőszervereivel folytatott kommunikációját, és a szokványos, 80-as porton keresztül szivárogtatja ki az értékes információkat.

Leírás

1. Létrehozza a következő állományokat:
%ProgramData%microsoftracstatedataracmetadata.dat
c:iqtahjowhylqujzkewlsbyts.exe
c:iqtahjowhylqujzwv0n67tarvdeb8on.exe
c:iqtahjowhylqujzyjhrngjw.exe

2. Különböző folyamatokat fertőz meg, és azok mögül végzi a további feladatait.

3. Folyamatosan naplózza a billentyűleütéseket.

4. Monitorozza a megnyitott alkalmazásokat.

5. Lementi a böngészési előzményeket.

6. Hitelkártyaszámokat gyűjt össze.

7. Felhasználóneveket és jelszavakat gyűjt össze.

8. Adathalászat elősegítése érdekében hamis weboldalakat jelenít meg.

9. Kapcsolódik a vezérlőszervereihez a 80-as TCP porton keresztül:

  • alonealmost.net
  • alonereason.net
  • chiefalmost.net
  • chieforderly.net
  • chiefreason.net
  • chiefvalue.net
  • collegealmost.net
  • collegeorderly.net
  • collegereason.net
  • collegevalue.net
  • oftenalmost.net
  • oftenorderly.net
  • oftenreason.net
  • presentalmost.net
  • presentorderly.net
  • presentreason.net
  • presentvalue.net
  • quietbattle.net
  • quietmayor.net
  • seasonbattle.net
  • seasonmayor.net
  • thinkalmost.net
  • thinkorderly.net
  • thinkreason.net
  • thinkvalue.net

10. Feltölti az összegyűjtött adatokat.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se
  • Ne nyisson meg imeretlen feladótól érkező üzeneteteket.
  • Használjon naprakész vírusírtó szofvert