Sorcurat trójai

CH azonosító

CH-13461

Angol cím

Sorcurat trojan

Felfedezés dátuma

2016.07.24.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft

Összefoglaló

A Sorcurat trójai káros kód vált ismertté, amely távolról vezérelhető módon végzi kártékony tevékenységeit. Ezek alapvetően egy hátsó kapu kiépítésére, rendszermanipulációkra és adatlopásokra terjednek ki. A károkozó a webböngészőkből és az FTP-kliensekből is képes hitelesítő adatokat kigyűjteni, majd kiszivárogtatni azokat.

Leírás

A trójai a következő feladatok elvégzésére utasítható:

  • fájlműveletek,
  • fájlok le-, illetve feltöltése,
  • proxy létrehozása,
  • folyamatok lekérdezése, indítása, leállítása,
  • billentyűleütések naplózása,
  • felvételek készítése webkamerával,
  • a Windows termékkulcsának lekérdezése,
  • távoli vezérlés biztosítása,
  • parancssoros felület elérhetővé tétele,
  • a számítógép újraindítása, illetve leállítása.

Technikai részletek:

1. Létrehozza a következő állományokat:
%App Data%GamerViewsqlite3.dll
%App Data%GamerViewdatabase.sqlite-journal
%App Data%GamerViewdatabase.sqlite
%App Data%MicrosoftSpeechAudioDriver.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows”load” = “%App Data%MicrosoftSpeechAudioDriver.exe”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Audio HD Driver” = “%App Data%MicrosoftSpeechAudioDriver.exe”””

3. Kapcsolódik egy távoli vezérlőszerverhez a 10134-es porton keresztül, majd egy hátsó kaput létesít.

4. Várakozik a támadók parancsaira, amelyeket rögtön végrehajt.

5. Hitelesítő adatokat gyűjt a következő alkalmazásokból:

  • Chrome
  • Core FTP
  • FileZilla
  • Internet Explorer
  • Opera
  • WinSCP
  • Yandex
  • Pidgin
  • Firefox
  • JDownloader
  • Thunderbird