Tzeebot trójai

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Microsoft

Összefoglaló

A Tzeebot trójai egy cseppet sem törődik azzal, hogy minél kisebb feltűnéssel végezze a nemkívánatos tevékenységét. A rendszereken ugyanis tucatszámra hozza létre a fájlokat, illetve a könyvtárakat, majd a regisztrációs adatbázist is számos ponton manipulálja. Amint az előkészítő tevékenységével végez, akkor rögtön nyit egy hátsó kaput, és bizalmas adatokat igyekszik összegyűjteni, illetve kiszivárogtatni.

A Tzeebot számos módon kémkedik. Így például folyamatosan naplózza a billentyűleütéseket, és képernyőképeket készít. Emellett monitorozza a vágólapot, amelynek tartalmát rendszeresen lementi. Az adatokat pedig FTP-n keresztül tölti fel a vezérlőszerverére.

Leírás

1. Létrehozza a következő állományokat:

%UserProfile%Application DataMicrosoft FxCop1.tmd

%UserProfile%Application DataMicrosoft FxCop3.tmd

%UserProfile%Application DataMicrosoft FxCop4.tmd

%UserProfile%Application DataMicrosoft FxCopMainModule.dll

%UserProfile%Application DataMicrosoft FxCopc4febf31-f8bd-g26b.tmp

%UserProfile%Application DataMicrosoft FxCopnetscp.exe

%UserProfile%Application DataMicrosoftGoogle Component Update.lnk

%UserProfile%Application DataMicrosoftInternet ExplorerLocalCash

%UserProfile%Application DataMicrosoftInternet ExplorerLocalCash14510223462812k.tmp

%UserProfile%Application DataMicrosoftInternet ExplorerPatches

%UserProfile%Application DataMicrosoftInternet ExplorerSQP4H9Z2_A.tmp

%UserProfile%Application DataMicrosoftInternet ExplorerTemp

%UserProfile%Application Datasetup1.exe

%UserProfile%Local SettingsTemp5ce0.rra

%UserProfile%Local SettingsTemp_is2x0409.ini

%UserProfile%Local SettingsTemp_is2Easy Resume Creator Pro.msi

%UserProfile%Local SettingsTemp_is2ISScript8.Msi

%UserProfile%Local SettingsTemp_is2Setup.INI

%UserProfile%Local SettingsTemp_is2Setup.skin

%UserProfile%Local SettingsTemp_is2_ISMSIDEL.INI

%UserProfile%Local SettingsTempisde5d0f.rra

%UserProfile%Local SettingsTemp{01DCAD46-FF60-478B-88FB-8A17B1129F53}

%UserProfile%Local SettingsTemp{01DCAD46-FF60-478B-88FB-8A17B1129F53}Ask.exe

%UserProfile%Local SettingsTemp{01DCAD46-FF60-478B-88FB-8A17B1129F53}IGdi.dll

%UserProfile%Local SettingsTemp{01DCAD46-FF60-478B-88FB-8A17B1129F53}ISRT.DLL

%UserProfile%Local SettingsTemp{01DCAD46-FF60-478B-88FB-8A17B1129F53}IsConfig.INI

%UserProfile%Local SettingsTemp{01DCAD46-FF60-478B-88FB-8A17B1129F53}String1033.txt

%UserProfile%Local SettingsTemp{01DCAD46-FF60-478B-88FB-8A17B1129F53}_ISRES.DLL

%UserProfile%Local SettingsTemp{01DCAD46-FF60-478B-88FB-8A17B1129F53}_ISUSER.DLL

%UserProfile%Local SettingsTemp{01DCAD46-FF60-478B-88FB-8A17B1129F53}license.txt

%UserProfile%Local SettingsTemp{01DCAD46-FF60-478B-88FB-8A17B1129F53}setup.inx

%UserProfile%Local SettingsTemporary Internet FilesContent.IE5WHI70HUVwpad[1].cache

%ProgramFiles%Common FilesInstallShieldDriver8Intel 32IDriver.exe

%ProgramFiles%Common FilesInstallShieldDriver8Intel 32IDriver2.exe

%ProgramFiles%Common FilesInstallShieldDriver8Intel 32ISRT.dll

%ProgramFiles%Common FilesInstallShieldDriver8Intel 32IScript8.dll

%ProgramFiles%Common FilesInstallShieldDriver8Intel 32IUser8.dll

%ProgramFiles%Common FilesInstallShieldDriver8Intel 32_ISRES1033.dll

%ProgramFiles%Common FilesInstallShieldDriver8Intel 32objps8.dll

2. Létrehozza az alábbi mappákat:

%UserProfile%Application DataMicrosoft FxCop

%UserProfile%Local SettingsTemp_is2

%ProgramFiles%Common FilesInstallShield

%ProgramFiles%Common FilesInstallShieldDriver

%ProgramFiles%Common FilesInstallShieldDriver8

%ProgramFiles%Common FilesInstallShieldDriver8Intel 32

3. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstallerFolders

“%ProgramFiles%Common FilesInstallShieldDriver8Intel 32” = “1”

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstallerFolders

“%ProgramFiles%Common FilesInstallShieldDriver8” = “1”

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstallerFolders

“%ProgramFiles%Common FilesInstallShieldDriver” = “1”

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstallerFolders

“%ProgramFiles%Common FilesInstallShield” = “1”

HKEY_LOCAL_MACHINESOFTWAREInstallShieldDriver8Intel32″Folder” = “%ProgramFiles%Common FilesInstallShieldDriver8Intel 32”

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”ComponentUpdate” = “”%UserProfile%Application DataMicrosoftGoogle Component Update.lnk””

HKEY_CLASSES_ROOTInterface”{02C0495A-3F58-4701-9913-7E855178A5D9}” = “ISetupOpType”

HKEY_CLASSES_ROOTISInstallDriver.StringTable”CLSID” = “{B84EDC85-8F87-4D92-A7DF-67AB94F2C528}”

HKEY_CLASSES_ROOT”ISInstallDriver.StringTable” = “InstallShield InstallDriver String Table”

HKEY_CLASSES_ROOTISInstallDriver.StringTable.8″CLSID” = “{B84EDC85-8F87-4D92-A7DF-67AB94F2C528}”

HKEY_CLASSES_ROOT”ISInstallDriver.StringTable.8″ = “InstallShield InstallDriver String Table”

HKEY_CLASSES_ROOTISInstallDriver.InstallDriver”CLSID” = “{8B1670C8-DC4A-4ED4-974B-81737A23826B}”

HKEY_CLASSES_ROOT”ISInstallDriver.InstallDriver” = “InstallShield InstallDriver”

HKEY_CLASSES_ROOTISInstallDriver.InstallDriver.1″CLSID” = “{8B1670C8-DC4A-4ED4-974B-81737A23826B}”

HKEY_CLASSES_ROOT”ISInstallDriver.InstallDriver.1″ = “InstallShield InstallDriver”

HKEY_CLASSES_ROOTIPW.User”CLSID” = “{FFD7B771-8ECA-45DE-A944-7B013C6C2DF5}”

HKEY_CLASSES_ROOT”IPW.User” = “InstallShield setup user interafce”

HKEY_CLASSES_ROOTIPW.User.1″CLSID” = “{FFD7B771-8ECA-45DE-A944-7B013C6C2DF5}”

HKEY_CLASSES_ROOT”IPW.User.1″ = “InstallShield setup user interafce”

HKEY_CLASSES_ROOTIPW.ScriptEngine”CLSID” = “{FC5F5A61-B28C-4E1C-9528-40B4B40A897B}”

HKEY_CLASSES_ROOT”IPW.ScriptEngine” = “InstallShield Script Engine”

HKEY_CLASSES_ROOTIPW.ScriptEngine.1″CLSID” = “{FC5F5A61-B28C-4E1C-9528-40B4B40A897B}”

HKEY_CLASSES_ROOT”IPW.ScriptEngine.1″ = “InstallShield Script Engine”

HKEY_CLASSES_ROOTCLSID{FFD7B771-8ECA-45DE-A944-7B013C6C2DF5}”VersionIndependentProgID” = “IPW.User”

HKEY_CLASSES_ROOTCLSID{FFD7B771-8ECA-45DE-A944-7B013C6C2DF5}”ProgID” = “IPW.User.1”

HKEY_CLASSES_ROOTCLSID{FFD7B771-8ECA-45DE-A944-7B013C6C2DF5}”InprocServer32″ = “%ProgramFiles%Common FilesInstallShieldDriver8Intel 32IUser8.dll”

HKEY_CLASSES_ROOTCLSID{FFD7B771-8ECA-45DE-A944-7B013C6C2DF5}InprocServer32″ThreadingModel” = “Apartment”

HKEY_CLASSES_ROOTCLSID”{FFD7B771-8ECA-45DE-A944-7B013C6C2DF5}” = “InstallShield setup user interafce”

HKEY_CLASSES_ROOTCLSID{FC5F5A61-B28C-4E1C-9528-40B4B40A897B}”VersionIndependentProgID” = “IPW.ScriptEngine”

HKEY_CLASSES_ROOTCLSID{FC5F5A61-B28C-4E1C-9528-40B4B40A897B}”ProgID” = “IPW.ScriptEngine.1”

HKEY_CLASSES_ROOTCLSID{FC5F5A61-B28C-4E1C-9528-40B4B40A897B}”InprocServer32″ = “%ProgramFiles%Common FilesInstallShieldDriver8Intel 32IScript8.dll”

HKEY_CLASSES_ROOTCLSID{FC5F5A61-B28C-4E1C-9528-40B4B40A897B}InprocServer32″ThreadingModel” = “Apartment”

HKEY_CLASSES_ROOTCLSID”{FC5F5A61-B28C-4E1C-9528-40B4B40A897B}” = “InstallShield Script Engine”

HKEY_CLASSES_ROOTCLSID{B84EDC85-8F87-4D92-A7DF-67AB94F2C528}”VersionIndependentProgID” = “ISInstallDriver.StringTable”

HKEY_CLASSES_ROOTCLSID{B84EDC85-8F87-4D92-A7DF-67AB94F2C528}”ProgID” = “ISInstallDriver.StringTable.8”

HKEY_CLASSES_ROOTCLSID{B84EDC85-8F87-4D92-A7DF-67AB94F2C528}”LocalServer32″ = “%ProgramFiles%Common FilesInstallShieldDriver8Intel 32IDriver.exe”

HKEY_CLASSES_ROOTCLSID”{B84EDC85-8F87-4D92-A7DF-67AB94F2C528}” = “InstallShield InstallDriver String Table”

HKEY_CLASSES_ROOTCLSID{A1726C4F-5238-4907-B312-A7D3369E084E}”InProcServer32″ = “%ProgramFiles%Common FilesInstallShieldDriver8Intel 32objps8.dll”

HKEY_CLASSES_ROOTCLSID{A1726C4F-5238-4907-B312-A7D3369E084E}InProcServer32″ThreadingModel” = “Both”

HKEY_CLASSES_ROOTCLSID”{A1726C4F-5238-4907-B312-A7D3369E084E}” = “PSFactoryBuffer”

HKEY_CLASSES_ROOTCLSID{8B1670C8-DC4A-4ED4-974B-81737A23826B}”VersionIndependentProgID” = “ISInstallDriver.InstallDriver”

HKEY_CLASSES_ROOTCLSID{8B1670C8-DC4A-4ED4-974B-81737A23826B}”ProgID” = “ISInstallDriver.InstallDriver.1”

HKEY_CLASSES_ROOTCLSID{8B1670C8-DC4A-4ED4-974B-81737A23826B}”LocalServer32″ = “%ProgramFiles%Common FilesInstallShieldDriver8Intel 32IDriver.exe”

HKEY_CLASSES_ROOTCLSID”{8B1670C8-DC4A-4ED4-974B-81737A23826B}” = “InstallShield InstallDriver”

HKEY_CLASSES_ROOTCLSID{8B1670C8-DC4A-4ED4-974B-81737A23826B}”AppID” = “{1BB3D82F-9803-4d29-B232-1F2F14E52A2E}”

HKEY_CLASSES_ROOTCLSID{697DEABA-809C-49FC-ADD1-E9902D88360D}”VersionIndependentProgID” = “ISInstallDriver.InstallDriver”

HKEY_CLASSES_ROOTCLSID{697DEABA-809C-49FC-ADD1-E9902D88360D}”ProgID” = “ISInstallDriver.InstallDriver.1”

HKEY_CLASSES_ROOTCLSID{697DEABA-809C-49FC-ADD1-E9902D88360D}”LocalServer32″ = “%ProgramFiles%Common FilesInstallShieldDriver8Intel 32IDriver2.exe”

HKEY_CLASSES_ROOTCLSID”{697DEABA-809C-49FC-ADD1-E9902D88360D}” = “InstallShield InstallDriver”

HKEY_CLASSES_ROOTCLSID{697DEABA-809C-49FC-ADD1-E9902D88360D}”AppID” = “{C2B96968-8E30-4BA4-A8F9-F40D09D1EA7E}”

HKEY_CLASSES_ROOTAppID”{C2B96968-8E30-4BA4-A8F9-F40D09D1EA7E}” = “InstallShield InstallDriver”

HKEY_CLASSES_ROOTAppID”{1BB3D82F-9803-4d29-B232-1F2F14E52A2E}” = “InstallShield InstallDriver”

HKEY_CLASSES_ROOTAppID{1BB3D82F-9803-4d29-B232-1F2F14E52A2E}”RunAs” = “Interactive User”

HKEY_CLASSES_ROOTAppID”IDriver2.exe” = “”

HKEY_CLASSES_ROOTAppIDIDriver2.exe”AppID” = “{C2B96968-8E30-4BA4-A8F9-F40D09D1EA7E}”

HKEY_CLASSES_ROOTAppID”IDriver.EXE” = “”

HKEY_CLASSES_ROOTAppIDIDriver.EXE”AppID” = “{1BB3D82F-9803-4d29-B232-1F2F14E52A2E}”

HKEY_CLASSES_ROOT”AppID” = “”

5. Csatlakozik egy távoli kiszolgálóhoz, és nyit egy hátsó kaput.

6. Feltérképezi a számítógépen futó antivírus alkalmazást.

7. Fájlokat tölt fel FTP-n keresztül.

8. Folyamatosan kémleli a billentyűleütéseket.

9. Képernyőképeket ment le.

10. Lementi a vágólap tartalmát.

11. Az összegyűjtött adatokat kiszivárogtatja.

Megoldás

Távolítsa el a fertőzést vírusirtó segítségével.

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Egyéb referencia: www.isbk.hu
Egyéb referencia: www.symantec.com