Trojan.Rapidstealer


2014. május 21. 10:55

CH azonosító

CH-11130

Angol cím

Trojan.Rapidstealer

Felfedezés dátuma

2014.05.20.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7
Windows Vista
Windows XP

Érintett verziók

Windows 7
Windows Vista
Windows XP

Összefoglaló

A Rapidstealer trójai adatlopásra specializálódott. A legfontosabb feladata, hogy azokat az információkat gyűjtse össze a számítógépekről, amelyeket az adattolvajok a saját céljukra tudnak használni. A rendszerinformációkat kérdezi le először a károkozó, majd a felhasználói fiókokra, hálózati beállításokra és az operációs rendszerre vonatkozó adatokat menti le.

Folyamatosan naplózza a billentyűleütéseket és képernyőképet készít. Időközönként a vágólap tartalmát lementi. A Rapidstealer figyelmét a webböngészők sem kerülik el, a kártevő a cookie-kat, elmentett böngészési adatokat és a beállításokat exportálja ki. A trójai a következő böngészőkkel kompatibilis: Opera, Firefox, Chrome és Internet Explorer. Felhasználói adatokat képes kinyerni az azonnali üzenetküldőkből (Google Talk, Pidgin, Skype, Yahoo!, Messenger).

A Rapidstealer trójai a álcázza magát Ultrasurf, GerdooVPN és Psiphon nevű VPN-alkalmazásoknak, és egy hamis Intel program formájában kerül a számítógépekre.

Leírás

1.A következő állományokat hozza létre:
%UserProfile%Application DataIntelRapidStartDelphiNative.dll
%UserProfile%Application DataIntelRapidStartIntelRS.exe.config
%UserProfile%Application DataIntelRapidStartAppTransferWiz.dll
%UserProfile%Application DataIntelRapidStartIntelRS.exe
%UserProfile%Application DataIntelRapidStartRapidStartTech.stl
2.Az alábbi értékeket hozzáadja a regisztrációs adatbázishoz:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”IntelRapidStart”=%UserProfile%Application DataIntelRapidStartIntelRS.exe
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”IntelRapidStart”=%UserProfile%Application DataIntelRapidStartIntelRS.exe
3.Összegyűjti a rendszerinformációkat:
– a számítógép neve
– felhasználónevek
– a vágólap tartalma
– IP-cím
– nyitott portok
– folyamatok listája
– területi beállítások
– telepített alkalmazások.
4.A billentyűleütéseket folyamatosan naplózza.
5.Képernyőképeket készít rendszeresen.
6.Az eltárolt adatokat exportálja ki a webböngészők által.
7.Meghatározott távoli szerverekre feltölti az összegyűjtött adatokat.
8.A saját állományait frissíti.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2022-44580 – RichPlugins Plugin For Google Reviews for WordPress sérülékenysége
CVE-2023-23421 – Microsoft Windows sérülékenysége
CVE-2023-23422 – Microsoft Windows sérülékenysége
CVE-2023-23420 – Microsoft Windows sérülékenysége
CVE-2023-23423 – Microsoft Windows sérülékenysége
CVE-2022-39214 – Combodo iTop (aka IT Operations Portal) sérülékenysége
CVE-2022-39216 – Combodo iTop (aka IT Operations Portal), Combodo iTop (aka IT Operations Portal) Community Edition sérülékenysége
CVE-2023-27501 – sap / netweaver application server abap, SAP NetWeaver Application Server ABAP sérülékenysége
CVE-2023-26360 – Adobe ColdFusion Improper Access Control sérülékenysége
CVE-2023-23397 – Microsoft Office Outlook sérülékenysége
Tovább a sérülékenységekhez »