Összefoglaló
A “TSPY_DYRE.EKW” trójai képes arra, hogy más káros kódokat töltsön le, és akár banki vagy bitcoin adatokat lopjon.
Egy távoli weboldalra küldi az információkat és innen fogad is utasításokat. Miután a feladatát végrehajtotta, törli magát.
Leírás
A következő komponenseket tölti le:
- TROJ_PIDIEF.LK
- TROJ_PIDIEF.UXL
- TROJ_PIDIEF.YYGA
Telepítés
Az alábbi helyekre másolja és utána futtatja magát:
- %Windows%{random fájl név}.exe (Windows XP-ben és az alatt)
- %AppDataLocal%{random fájl név}.exe (Vista-ban és afölött)
Az alábbi helyekre másol:
- %System%configsystemprofileApplication Data{random fájl név 2}.vas (Windows XP-ben és a későbbi verziók)
- %AppDataLocal%{random fájl név 3}.vas (Vista-ban és afölött)
A következő változót hozza létre, annak érdekében, hogy bármikor futhasson:
- Global1g2hk1hyj
Kódokat injektál az alábbi folyamatba:
- explorer.exe
Automatikus indulás
A kárós kód bejegyzi magát szolgáltatásként ezzel biztosítva, hogy minden rendszer indításnál automatikusan futhasson úgy hogy hozzáadja az alábbi regisztrációs bejegyzéseket:
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesgoogleupdateImagePath = “%Windows%{random fájl név}.exe”
- KEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesgoogleupdateDisplayName = “Google Update Service”
Létrehozza az alábbi regisztrációs bejegyzést, hogy minden rendszer indításnál automatikusan futhasson:
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun(Default) = “%AppDataLocal%{random fájl név}.exe ” (Vista-ban és afölött)
A kárós kód bejegyzi magát rendszer szolgáltatásként, ezzel biztosítva, hogy minden rendszer indításnál automatikusan futhasson úgy hogy hozzáadja az alábbi regisztrációs kulcsot:
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesgoogleupdate(Windows XP-ben és afölött)
Információ lopás
A következő adatokat szerzi meg:
- Számítógép név
- Nyilvános IP címet
- Operációs rendszer verzióját
- Felhasználó név
Egyéb részletek
A következő URL címre próbál meg felcsatlakozni (a kapcsolat ellenőrzése céljából):
- google.com
A következő URL címre csatlakozik fel, hogy megismerje a fertőzött gép IP címét:
- http://icanhazip.com
Az alábbi IP címekhez csatlakozik, adatküldés és fogadás céljából:
- {BLOCKED}.{BLOCKED}.51.224:4443
- {BLOCKED}.{BLOCKED}.51.224:443
- {BLOCKED}.{BLOCKED}.46.50:4443
- {BLOCKED}.{BLOCKED}.122.128:4443
- {BLOCKED}.{BLOCKED}.121.205:4443
- {BLOCKED}.105.122.128:443
- {BLOCKED}.{BLOCKED}.98.111:4443
- {BLOCKED}.{BLOCKED}.121.205:443
- {BLOCKED}.{BLOCKED}.98.111:443
- {BLOCKED}.{BLOCKED}.35.188:443
- {BLOCKED}.{BLOCKED}.122.160:4443
- {BLOCKED}.{BLOCKED}.126.25:4443
- {BLOCKED}.{BLOCKED}.110.52:4443
- {BLOCKED}.{BLOCKED}.122.160:443
- {BLOCKED}.{BLOCKED}.126.25:443
- {BLOCKED}.{BLOCKED}.110.52:443
- {BLOCKED}.{BLOCKED}.122.160
- {BLOCKED}.{BLOCKED}.202.162:4443
- {BLOCKED}.{BLOCKED}.202.162:443
- {BLOCKED}.{BLOCKED}.227.37:443
Ezek után törli magát.
Megjegyzés:
Monitorozza a következő böngészőket:
- Google Chrome
- Internet Explorer
- Mozilla Firefox
Ellopja a bank és bitcoinhoz kapcsolódó információkat úgy, hogy rosszindulatú kódokat injektál be a bank/bitcoin bejelentkező weboldalába:
- accounts.expresscoin.com/*
- accounts.expresscoin.com/login*
- aibinternetbanking.aib.ie/*
- aibinternetbanking.aib.ie/inet/roi/login.htm*
- alolb1.arbuthnotlatham.co.uk/*
- alolb1.arbuthnotlatham.co.uk/IB/Online*
- anxbtc.com/*
- bank.barclays.co.uk/*
- bank.barclays.co.uk/olb/auth/LoginLink.action*
- banking.ireland-bank.com/*
- banking.ireland-bank.com/IrelandBankOnline_303/Authentication/Login.aspx*
- banking.triodos.co.uk/*
- banking.triodos.co.uk/ib-seam/login.seam*
- bankofirelandlifeonline.ie/*
- bankofirelandlifeonline.ie/homepage.jhtml*
- bitbargain.co.uk/*
- bitbargain.co.uk/login*
- bitpay.com/*
- bitpay.com/merchant-login*
- blockchain.info/*
- blockchain.info/wallet/login*
- bolpp.bankofireland.com/*
- bolpp.bankofireland.com/Commercial/*
- btultra.btrl.ro/*
- btultra.btrl.ro/sign/_mcologon*
- bureau.bottomline.co.uk/*
- bureau.bottomline.co.uk/unity/index.aspx*
- business.co-operativebank.co.uk/*
- business.co-operativebank.co.uk/corp/BANKAWAY*
- business.santander.co.uk/*
- business.santander.co.uk/LGSBBI_NS_ENS/BtoChannelDriver.ssobto*
- business2.danskebank.co.uk/*
- business2.danskebank.co.uk/pub/logon/logon.aspx*
- business2.danskebank.ie/*
- business2.danskebank.ie/pub/logon/logon.aspx*
- businessonline.mutualofomahabank.com/*
- businessonline.mutualofomahabank.com/cb/pages/jsp-ns/login.jsp*
- butterfieldonline.co.uk*
- butterfieldonline.co.uk/*
- cbfm.saas.cashfac.com/*
- cbfm.saas.cashfac.com/cbfm/Logon.aspx*
- cbionline.cbi.ae/*
- cbionline.cbi.ae/bus/security/Welcome.do*
- charisma.btdirect.ro/*
- charisma.btdirect.ro/CharismaWEB/_Public/Login.aspx*
- corporate.adcb.com/*
- corporate.adcb.com/corporateWeb/login.do*
- corporate.metrobankonline.co.uk/*
- corporate.santander.co.uk/*
- corporate.santander.co.uk/LOGSCU_NS_ENS/BtoChannelDriver.bto*
- dashboard.gocoin.com/*
- dashboard.gocoin.com/login*
- e-access.compassbank.com/*
- e-access.compassbank.com/bbw/cmserver/welcome/default/verify.cfm*
- eadibcorp.adib.ae/*
- eadibcorp.adib.ae/cb/servlet/cb/jsp-ns/login.jsp*
- esavings.shawbrook.co.uk/*
- esavings.shawbrook.co.uk/BankFast/Shawbrook*
- fastbanking.bancpost.ro/*
- fastbanking.bancpost.ro/iBankWeb/login.jsp*
- fdonline.co-operativebank.co.uk/*
- fdonline.co-operativebank.co.uk/corp/BANKAWAY*
- fidelitytopeka.btbanking.com/*
- fidelitytopeka.btbanking.com/onlineserv/CM/*
- home1.ybonline.co.uk/*
- home1.ybonline.co.uk/raluV8/reglm-web/login.ctl*
- home2.cybusinessonline.co.uk/*
- home2.cybusinessonline.co.uk/lmgruV8/ceblm-web/login.ctl*
- ht.businessonlinepayroll.com/*
- ht.businessonlinepayroll.com/SPF/login/ee_auth.aspx*
- ib.btrl.ro/*
- ib.btrl.ro/BT24/bfo/channel/web/loginframe.jsp*
- ibank.gtbankuk.com/*
- ibank.gtbankuk.com/Gaps_UK/Default.aspx*
- ibank.reliancebankltd.com/*
- ibank.reliancebankltd.com/logon.aspx*
- ibank.zenith-bank.co.uk/*
- ibank.zenith-bank.co.uk/internetbanking/index.jsp*
- ibb.firsttrustbank1.co.uk/*
- ibb.firsttrustbank1.co.uk/ibb/controller*
- ibusinessbanking.aib.ie/*
- ibusinessbanking.aib.ie/ibb/controller*
- leumionline.bankleumi.co.uk/*
- leumionline.bankleumi.co.uk/my.policy*
- localbitcoins.com/*
- localbitcoins.com/accounts/login*
- login.24banking.ro/*
- login.24banking.ro/casserver/login*
- login.isso.db.com/*
- login.isso.db.com/websso/sso_multi_auth_Logon.sso*
- login.salesforce.com/*
- login.smartbusiness.ae/*
- login.smartbusiness.ae/bo-login.jsp*
- my.sjpbank.co.uk/*
- my.sjpbank.co.uk/Security/Auth/Logon*
- net.crediteurope.ro/*
- net.crediteurope.ro/ibank-cln/do/login/prompt*
- netbanking.mashreqbank.com/*
- netbanking.mashreqbank.com/B001/SMELogin.jsp*
- netbanking.ubluk.com/*
- netbanking.ubluk.com/Login/Index*
- northrimbankonline.btbanking.com/*
- northrimbankonline.btbanking.com/onlineserv/CM/*
- online.adambank.com/*
- online.adambank.com/eBankingAdamLogin/login*
- online.bankofcyprus.co.uk/*
- online.bankofcyprus.co.uk/netteller/login.faces*
- online.coutts.com/*
- online.coutts.com/eBankingCouttsLogin/login*
- online.dib.ae/*
- online.dib.ae/webapplication.ui/localoperations/login/loginpage.aspx*
- online.duncanlawrie.com/*
- online.duncanlawrie.com/InternetBanking/faces/mdi/login.jsp*
- online.ebs.ie/*
- online.ebs.ie/internet/login/index.jsp*
- online.hoaresbank.co.uk/*
- online.hoaresbank.co.uk/fi11512/bb/logon*
- online.kbc.ie/*
- online.kbc.ie/kbc-online/onlinebanking/login*
- online.ybs.co.uk/*
- online.ybs.co.uk/public/authentication/login1.do*
- onlinebusiness.lloydsbank.co.uk/*
- onlinebusiness.lloydsbank.co.uk/business/logon/login.jsp*
- personal.co-operativebank.co.uk/*
- personal.co-operativebank.co.uk/CBIBSWeb/start.do*
- retail.santander.co.uk/*
- retail.santander.co.uk/LOGSUK_NS_ENS/BtoChannelDriver.ssobto*
- ro.unicreditbanking.net/*
- ro.unicreditbanking.net/disp*
- s2b.standardchartered.com/*
- s2b.standardchartered.com/ssoapp/login.jsp*
- safello.com/*
- safello.com/login*
- santander.hpdsc.com/*
- santander.hpdsc.com/main*
- secure.coinjar.com/*
- secure.coinjar.com/users/sign_in*
- secure.handelsbanken.com/*
- secure.handelsbanken.com/bb/glss/servlet/prelogon*
- secure.internetbanking.ro/*
- secure.internetbanking.ro/IBK_SMS/Login/LoginFirstStep.aspx*
- secure.membersaccounts.com/*
- secure.membersaccounts.com/SELFSERVICE/login.aspx*
- secure2.alphabank.ro/*
- secure2.alphabank.ro/corporate/CorpOTPLoginLangRom.jsp*
- webcmpr.bancopopular.com/*
- webcmpr.bancopopular.com/K1*
- www.365online.com/*
- www.365online.com/online365/spring/authentication*
- www.arabi-online.net/*
- www.arabi-online.net/efs/servlet/efs/jsp-ns/login.jsp*
- www.asbolb.com/*
- www.asbolb.com/servlet/ASB.ASBServlet*
- www.barclayswealth.com/*
- www.barclayswealth.com/login/action/logon/unauthenticated/personal/loginDetailsRouting*
- www.bitstamp.net/*
- www.bitstamp.net/account/login*
- www.boi-bol.com/*
- www.boi-bol.com/newHome.jsp*
- www.brdoffice.ro/*
- www.brdoffice.ro/smartoffice/_mcologon*
- www.cardonebanking.com/*
- www.cardonebanking.com/authlogin.aspx*
- www.caterallenonline.co.uk*
- www.caterallenonline.co.uk/*
- www.ceconline.ro/*
- www.ceconline.ro/smartoffice/logon.htm*
- www.coinbase.com/*
- www.coinbase.com/signin*
- www.corporate-clients.commerzbank.com/*
- www.corporate-clients.commerzbank.com/S-Portal/SHTML/cdir2/companydirectportal/pgf.html*
- www.halifax-online.co.uk/*
- www.halifax-online.co.uk/personal/logon/login.jsp*
- www.ingonline.com/*
- www.ingonline.com/ro/!UPR.Dispatcher*
- www.internationalpayments.co.uk/*
- www.investbank.ae/*
- www.investbank.ae/ibank/loginAction.do*
- www.iombankibanking.com/*
- www.iombankibanking.com/eai/IPB_EAI_Web/eai*
- www.kbinternetbanking.com*
- www.kbinternetbanking.com/*
- www.natwestibanking.com/*
- www.natwestibanking.com/eai/IPB_EAI_Web/customerNumber.do*
- www.onlinebanking.iombank.com/*
- www.onlinebanking.iombank.com/default.aspx*
- www.onlinebanking.natwestoffshore.com/*
- www.onlinebanking.natwestoffshore.com/default.aspx*
- www.open24.ie/*
- www.open24.ie/online/login.aspx*
- www.raiffeisenonline.ro/*
- www.raiffeisenonline.ro/eBankingWeb/login*
- www.rbsidigital.com/*
- www.rbsidigital.com/default.aspx*
- www.rbsiibanking.com/*
- www.rbsiibanking.com/ipb/IPB_Client_Web/Start.do*
- www.suntrust.com/*
- www.suntrust.com/portal/server.pt*
- www.svbconnect.com/*
- www.svbconnect.com/auth*
- www1.firstdirect.com/*
- www1.firstdirect.com/1/2/!ut/p/c5/04_SB8K8xLLM9MSSzPy8xBz9CP0os3gDgzAfSycDUy8LAzNDbz8vbzMDKADKR5rFO7s7epiY-wD5YZ6uBp4mTiYGpr5uhgaexmDdFibeBn7enkEuBs4ejiYeHkGGMN0FuaGKAPRSfDc!*
- www1.rbcbankusa.com/*
- www1.rbcbankusa.com/cgi-bin/rbaccess/rbunxcgi*
- www22.bmo.com/*
- www22.bmo.com/ctpauth/CTPEAILogin/CustUserPasswordAuthServlet*
Felcsatlakozik a következő STUN (Session Traversal Utilities for NAT) szerverhez, hogy meghatározza az érintett gép nyilvános IP címét:
- stun1.voiceeclipse.net
- stun.callwithus.com
- stun.sipgate.net
- stun.ekiga.net
- stun.ideasip.com
- stun.internetcalls.com
- stun.noc.ams-ix.net
- stun.phonepower.com
- stun.voip.aebc.com
- stun.voipbuster.com
- stun.voxgratia.org
- stun.ipshka.com
- stun.faktortel.com.au
- stun.iptel.org
- stun.voipstunt.com
- stunserver.org
- 203.183.172.196:3478
- s1.taraba.net
- s2.taraba.net
- stun.l.google.com:19302
- stun1.l.google.com:19302
- stun2.l.google.com:19302
- stun3.l.google.com:19302
- stun4.l.google.com:19302
- stun.schlund.de
- stun.rixtelecom.se
- stun.voiparound.com
- numb.viagenie.ca
- stun.stunprotocol.org
- stun.2talk.co.nz
Megoldás
Távolítsa el a kártékony kódot vírusírtó segítségével.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.trendmicro.com
