Tinba.B


2014. október 2. 13:04

CH azonosító

CH-11680

Angol cím

Tinba.B

Felfedezés dátuma

2014.10.01.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A Tinba.B Windows-os folyamatokat fertőz meg, amelyek mögül a háttérben, folyamatosan figyelemmel kíséri a hálózati aktivitást. 

Leírás

A Tinba.B Windows-os folyamatokat fertőz meg, amelyek mögül a háttérben, folyamatosan figyelemmel kíséri a hálózati aktivitást. Az adatlopáshoz pedig Windows és Internet Explorer által biztosított API-kat sem rest felhasználni.

A Tinba.B trójai működése erősen függ attól, hogy a terjesztői milyen utasításokkal látják el egy távoli vezérlőszerveren keresztül. A károkozó a kiszolgálójáról egy konfigurációs állományt szerez be, amelyben arról kap információkat, hogy mely domainek, IP-címek esetében kell a hálózati adatforgalmat lementenie, illetve feldolgoznia.

Amennyiben a vezérlőszerverét elvesztené, vagy a konfigurációs fájlban nem kap megfelelő információkat arra vonatkozóan, hogy hová kell az összegyűjtött adatokat továbbítania, akkor egy DGA (Domain Generation Algorithm) algoritmus segítségével domain neveket generál, amelyek alapján megpróbál távoli szerverekhez kapcsolódni.

Technikai részletek:

1. Létrehozza a következő állományt:

%UserProfile%Application Data[…]bin.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[…]” = “%UserProfile%Application Data[…]bin.exe”

3. A regisztrációs adatbázisban módosítja a következő bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3″1609″ = “0”

4. Konfigurációs állományokat tölt le az alábbiak szerint:
%UserProfile%Application Data[…]cfg.dat
%UserProfile%Application Data[…]web.dat

5. Megfertőzi a következő folyamatokat:
winver.exe
explorer.exe

6. Monitorozza a hálózati adatforgalmat azon domainek esetében, amelyek naplóinformációkat tartalmaznak.

7. Windows és Internet Explorer API-kat használ fel. 

8. Az összegyűjtött adatokat lementi az alábbiak szerint:
%UserProfile%Application Data[…]log.dat
%UserProfile%Application Data[…]ntf.dat

9. A fenti adatfájlokat időközönként feltölti a vezérlőszerverére.

10. Letölt, és elindít egy kártékony programot:
%UserProfile%Application Data[…].exe

Támadás típusa

Unspecified (Nem részletezett)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-7656 – Google Chrome sérülékenysége
CVE-2025-6541 – TP-Link sérülékenysége
CVE-2025-61884 – Oracle E-Business Suite Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2025-2747 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2025-2746 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2022-48503 – Apple Multiple Products Unspecified sérülékenysége
CVE-2025-61932 – Motex LANSCOPE Endpoint Manager sérülékenysége
CVE-2025-54957 – Dolby UDC out-of-bounds write sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
Tovább a sérülékenységekhez »