Trojan.Tinba.B


2014. szeptember 25. 06:54

CH azonosító

CH-11650

Angol cím

Trojan.Tinba.B

Felfedezés dátuma

2014.09.22.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 98, Windows 95, Windows XP, Windows Server 2008, Windows 7, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

Összefoglaló

A Tinba.B trójai állományokat képes letölteni, valamint információt tulajdonít el a fertőzött számítógépről.

Leírás

Mikor a trójai aktiválódik bemásolja magát az alábbi helyre: 

  • %UserProfile%Application Data[HEXADECIMAL VALUE]bin.exe

Létrehozza a következő regisztrációs bejegyzést, hogy a Windows indulásánál betöltődhessen:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[HEXADECIMAL VALUE]” = “%UserProfile%Application Data[HEXADECIMAL VALUE]bin.exe”

A következőkben a trójai módosítja az alábbi regisztrációs bejegyzést:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3″1609″ = “0”

Letölti a konfigurációs fájlt az alábbi helyekre:

  • %UserProfile%Application Data[HEXADECIMAL VALUE]cfg.dat
  • %UserProfile%Application Data[HEXADECIMAL VALUE]web.dat

 Beinjektálja magát az alábbi folyamatokba:

  • winver.exe
  • explorer.exe

A trójai összekapcsolódik az alábbi API-kal:

  • NtCreateUserProcess
  • NtCreateProcessEx
  • NtCreateThread
  • NtResumeThread
  • NtEnumerateValueKey
  • NtQueryDirectoryFile

A trójai kódot juttat a futó folyamatokba. Mikor ez a folyamat egy böngészőt érint, összekapcsolódik meghatározott API-kal, hogy figyelje a hálózati aktivitást és naplózza az információkat a tartományokról egy konfigurációs fájlba.

A trójai összekapcsolódik az alábbi API-kel az Internet Explorernél:

  • HttpSendRequestA
  • HttpSendRequestW
  • InternetCloseHandle
  • InternetReadFileExA
  • InternetReadFile
  • InternetQueryDataAvailable
  • HttpQueryInfoA

Más böngészőknél a trójai alábbi API-kal kacsolódik össze:

  • PR_Close
  • PR_Write
  • PR_Read

A trójai ellopja a kapott információkat az alábbi helyekről:

  • %UserProfile%Application Data[HEXADECIMAL VALUE]log.dat
  • %UserProfile%Application Data[HEXADECIMAL VALUE]ntf.dat

Elküldi a szerzett információkat a konfigurációs fájlban meghatározott vezérlőszerverhez.

A fájl az alábbi szervereket tárolja:

  • newstatinru.ru
  • justforyou0987.pw
  • phpsitegooddecoder.com

Ha a konfigurációs fájlban meghatározott kiszolgálók nem elérhetők, a trójai tartomány generátort (DGA) használ, így akár 1000 kiszolgálót is megpróbálhat elérni. Mikor sikerrel jár, akkor kapcsolódik hozzá.

A trójai letölti és futtatja az alábbi állományokat:

  • %UserProfile%Application Data[HEXADECIMAL VALUE].exe

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

http://www.symantec.com/security_response/writeup.jsp?docid=2014-092411-3132-99&tabid=2

Legfrissebb sérülékenységek
CVE-2026-21877 – n8n Remote Code Execution via Arbitrary File Write sérülékenység
CVE-2025-68668 – n8n Arbitrary Command Execution sérülékenység
CVE-2025-68613 – n8n Remote Code Execution via Expression Injection sérülékenység
CVE-2026-21858 – n8n Unauthenticated File Access via Improper Webhook Request Handling sérülékenység
CVE-2025-37164 – Hewlett Packard Enterprise OneView Code Injection sérülékenység
CVE-2009-0556 – Microsoft Office PowerPoint Code Injection sérülékenység
CVE-2026-0625 – D-Link DSL Command Injection via DNS Configuration Endpoint sérülékenység
CVE-2020-12812 – Fortinet FortiOS SSL VPN Improper Authentication sérülékenysége
CVE-2025-14733 – WatchGuard Firebox Out of Bounds Write sérülékenység
CVE-2023-52163 – Digiever DS-2105 Pro Missing Authorization sérülékenység
Tovább a sérülékenységekhez »