Trojan.Tinba.B


2014. szeptember 25. 06:54

CH azonosító

CH-11650

Angol cím

Trojan.Tinba.B

Felfedezés dátuma

2014.09.22.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 98, Windows 95, Windows XP, Windows Server 2008, Windows 7, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

Összefoglaló

A Tinba.B trójai állományokat képes letölteni, valamint információt tulajdonít el a fertőzött számítógépről.

Leírás

Mikor a trójai aktiválódik bemásolja magát az alábbi helyre: 

  • %UserProfile%Application Data[HEXADECIMAL VALUE]bin.exe

Létrehozza a következő regisztrációs bejegyzést, hogy a Windows indulásánál betöltődhessen:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[HEXADECIMAL VALUE]” = “%UserProfile%Application Data[HEXADECIMAL VALUE]bin.exe”

A következőkben a trójai módosítja az alábbi regisztrációs bejegyzést:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3″1609″ = “0”

Letölti a konfigurációs fájlt az alábbi helyekre:

  • %UserProfile%Application Data[HEXADECIMAL VALUE]cfg.dat
  • %UserProfile%Application Data[HEXADECIMAL VALUE]web.dat

 Beinjektálja magát az alábbi folyamatokba:

  • winver.exe
  • explorer.exe

A trójai összekapcsolódik az alábbi API-kal:

  • NtCreateUserProcess
  • NtCreateProcessEx
  • NtCreateThread
  • NtResumeThread
  • NtEnumerateValueKey
  • NtQueryDirectoryFile

A trójai kódot juttat a futó folyamatokba. Mikor ez a folyamat egy böngészőt érint, összekapcsolódik meghatározott API-kal, hogy figyelje a hálózati aktivitást és naplózza az információkat a tartományokról egy konfigurációs fájlba.

A trójai összekapcsolódik az alábbi API-kel az Internet Explorernél:

  • HttpSendRequestA
  • HttpSendRequestW
  • InternetCloseHandle
  • InternetReadFileExA
  • InternetReadFile
  • InternetQueryDataAvailable
  • HttpQueryInfoA

Más böngészőknél a trójai alábbi API-kal kacsolódik össze:

  • PR_Close
  • PR_Write
  • PR_Read

A trójai ellopja a kapott információkat az alábbi helyekről:

  • %UserProfile%Application Data[HEXADECIMAL VALUE]log.dat
  • %UserProfile%Application Data[HEXADECIMAL VALUE]ntf.dat

Elküldi a szerzett információkat a konfigurációs fájlban meghatározott vezérlőszerverhez.

A fájl az alábbi szervereket tárolja:

  • newstatinru.ru
  • justforyou0987.pw
  • phpsitegooddecoder.com

Ha a konfigurációs fájlban meghatározott kiszolgálók nem elérhetők, a trójai tartomány generátort (DGA) használ, így akár 1000 kiszolgálót is megpróbálhat elérni. Mikor sikerrel jár, akkor kapcsolódik hozzá.

A trójai letölti és futtatja az alábbi állományokat:

  • %UserProfile%Application Data[HEXADECIMAL VALUE].exe

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

http://www.symantec.com/security_response/writeup.jsp?docid=2014-092411-3132-99&tabid=2

Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »