Összefoglaló
A Trojan.Tubrosa egy olyan trójai, amely további fájlokat tölt le a fertőzött számítógépre, és egyéb rosszindulatú tevékenységeket is végrehajthat.
Leírás
A trójai futtatását a felhasználónak kell végrehajtania.
Amikor a trójai lefut, létrahozza az alábbi fájlokat:
C:Documents and SettingsAll UsersApplication DataMacromediaFlash Player#SharedObjects3Z7DKHU2s.ytimg.comsoundData.sol
C:Documents and SettingsAll UsersApplication DataMacromediaFlash Player#SharedObjects3Z7DKHU2www-cdn.jtvnw.netjtv_settings.sol
C:Documents and SettingsAll UsersApplication DataMacromediaFlash Playermacromedia.comsupportflashplayersys#s.ytimg.comsettings.sol
C:Documents and SettingsAll UsersApplication Datasychostappdomain
A trójai létrehozza a következő bejegyzéseket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceWindowsNT = “C:Documents and SettingsAll UsersApplication Datasychostappdomain.exe”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesAttachments
HideZoneInfoOnProperties = 0x0000
A trójai létrehozza a következő bejegyzést Windows XP rendszerű számítógépeken:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAINFeatureControlFEATURE_BROWSER_EMULATION[APPLICATION NAME] = “7000”
A trójai létrehozza a következő bejegyzéseket a nem Windows XP rendszerű számítógépeken:
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainFeatureControlFEATURE_BROWSER_EMULATION[APPLICATION NAME} = “7000”
A trójai megkísérli telepíteni a Flash Playert az Internet Explorerbe.
A trójai létrehozza az alábbi fájlt:
C:Documents and SettingsAll UsersApplication Datasychostappdomain.exe
Az appdomain.exe tartalmazza a dropper és a watchdog részeket.
Az appdomain.exe lefut, és beállítja magát a registry-ben automatikus indulásúra.
Az appdomain.exe minden leállásakor elindítja az alábbi fájlt:
C:Documents and SettingsAll UsersApplication Datasychostsychost.exe
ami újraindítja az eredeti exe-t.
A sychost.exe a következő műveleteket végzi el:
- Automatikusan lejátsza a YouTube videókat, mialatt azok rejtve vannak.
- Letölti a [http://]loserboy.in/me/video[REMOVED] címről a videók listáját.
- Módosítja a számítógép hangerő beállításait.
- Ellenőrzi, hogy az appdomain.exe telepítve van-e és fut-e.
- Megpróbálja telepíteni az Adobe Flash Player 14-es verzióját Internet Explorerbe (ha még nincs telepítve) az alábbi címről: [http://]ge.tt/api/1/files/9bxN7Cq1/0/bl[REMOVED].
- Egy meghatározott értékű emulált módú Internet Explorer böngészőt elindít YouTube videók nézésére.
- Elrejti az emulált böngészőket.
- Pszeudo-random értékeket kér le a [http://]loserboy.in/me/getu[REMOVED] és a http://]loserboy.in/me/getre[REMOVED] címekről.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com