Trojan.Rapidstealer


2014. május 21. 10:55

CH azonosító

CH-11130

Angol cím

Trojan.Rapidstealer

Felfedezés dátuma

2014.05.20.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7
Windows Vista
Windows XP

Érintett verziók

Windows 7
Windows Vista
Windows XP

Összefoglaló

A Rapidstealer trójai adatlopásra specializálódott. A legfontosabb feladata, hogy azokat az információkat gyűjtse össze a számítógépekről, amelyeket az adattolvajok a saját céljukra tudnak használni. A rendszerinformációkat kérdezi le először a károkozó, majd a felhasználói fiókokra, hálózati beállításokra és az operációs rendszerre vonatkozó adatokat menti le.

Folyamatosan naplózza a billentyűleütéseket és képernyőképet készít. Időközönként a vágólap tartalmát lementi. A Rapidstealer figyelmét a webböngészők sem kerülik el, a kártevő a cookie-kat, elmentett böngészési adatokat és a beállításokat exportálja ki. A trójai a következő böngészőkkel kompatibilis: Opera, Firefox, Chrome és Internet Explorer. Felhasználói adatokat képes kinyerni az azonnali üzenetküldőkből (Google Talk, Pidgin, Skype, Yahoo!, Messenger).

A Rapidstealer trójai a álcázza magát Ultrasurf, GerdooVPN és Psiphon nevű VPN-alkalmazásoknak, és egy hamis Intel program formájában kerül a számítógépekre.

Leírás

1.A következő állományokat hozza létre:
%UserProfile%Application DataIntelRapidStartDelphiNative.dll
%UserProfile%Application DataIntelRapidStartIntelRS.exe.config
%UserProfile%Application DataIntelRapidStartAppTransferWiz.dll
%UserProfile%Application DataIntelRapidStartIntelRS.exe
%UserProfile%Application DataIntelRapidStartRapidStartTech.stl
2.Az alábbi értékeket hozzáadja a regisztrációs adatbázishoz:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”IntelRapidStart”=%UserProfile%Application DataIntelRapidStartIntelRS.exe
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”IntelRapidStart”=%UserProfile%Application DataIntelRapidStartIntelRS.exe
3.Összegyűjti a rendszerinformációkat:
– a számítógép neve
– felhasználónevek
– a vágólap tartalma
– IP-cím
– nyitott portok
– folyamatok listája
– területi beállítások
– telepített alkalmazások.
4.A billentyűleütéseket folyamatosan naplózza.
5.Képernyőképeket készít rendszeresen.
6.Az eltárolt adatokat exportálja ki a webböngészők által.
7.Meghatározott távoli szerverekre feltölti az összegyűjtött adatokat.
8.A saját állományait frissíti.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2023-38950 – ZKTeco BioTime Path Traversal sérülékenysége
CVE-2025-27920 – Srimax Output Messenger Directory Traversal sérülékenysége
CVE-2025-4428 – Ivanti Endpoint Manager Mobile (EPMM) Code Injection sérülékenysége
CVE-2025-4427 – Ivanti Endpoint Manager Mobile (EPMM) Authentication Bypass sérülékenysége
CVE-2024-27443 – Synacor Zimbra Collaboration Suite (ZCS) Cross-Site Scripting (XSS) sérülékenysége
CVE-2024-11182 – MDaemon Email Server Cross-Site Scripting (XSS) sérülékenysége
CVE-2025-42999 – SAP NetWeaver Deserialization sérülékenysége
CVE-2024-12987 – DrayTek Vigor Routers OS Command Injection sérülékenysége
CVE-2025-4664 – Google Chromium Loader Insufficient Policy Enforcement sérülékenysége
Tovább a sérülékenységekhez »