Összefoglaló
A Win32/Prikormka feltehetőleg ukrán eredetű malware család, amely 2014 óta fertőz. Célpontjai jellemzően ukrán magánszemélyek, de 2016 márciusában magyar nyelvű fertőzött fájlokat is találtak.
Leírás
A kártevő e-mailek fertőzött csatolmányaként terjed, ami jellemzően egy dokumentumnak álcázott .SCR vagy .EXE kiterjesztésű, futtatható állomány, tömörítve. Futtatáskor egyrészt fertőzi a gépet, ezzel párhuzamosan egy csaló dokumentumot is megjelenít (figyelemelterelés gyanánt), valamint nyit egy orosz nyelvű WinRAR párbeszédablakot. (A magyar szövegű kampányban nem volt ilyen.) Előfordulhat, hogy nem csatolmány, hanem csupán egy hivatkozás szerepel az e-mailben, ami egy káros webhelyre mutat.
Tevékenységét tekintve információt gyűjt a fertőzött gépről és továbbítja azokat a megadott C&C szerverek felé. A sikeres fertőzéshez a kártevőnek admin jogosultságra van szüksége. Ha a támadott felhasználó nem ilyen jogosultsággal van bejelentkezve, a program bekéri az admin jelszót. Ezt követően további modulokat tölt le és hozzálát az adatgyűjtéshez.
Figyeli a billentyűleütéseket, rögzítheti a Skype hívásokat, időközönként képernyőmentést végez, Wifi adatokat és a számítógép műszaki paramétereit is gyűjti, továbbá az alábbi programokban tárolt jeszavakat igyekszik megszerezni:
- Google Chrome
- Opera Browser
- Yandex Browser
- Comodo Dragon Internet Browser
- Rambler Browser (Nichrome)
- Mozilla Firefox
- Mozilla Thunderbird
Az alábbi fájlok jelezhetnek fertőzést:
- %PROGRAMFILES%IntelRestore
- %USERPROFILE%Resentroamingocp8.1
- %USERPROFILE%AppDataLocalMMC
- %USERPROFILE%AppDataLocalPMG
- %USERPROFILE%AppDataLocalSKC
- %USERPROFILE%AppDataLocalCMS
- %USERPROFILE%AppDataLocalVRT
- %USERPROFILE%AppDataLocalioctl
- %WINDIR%ntshrui.dll
- %WINDIR%hauthuid.dll
- %WINDIR%hlpuctf.dll
- %WINDIR%atiml.dll
- %WINDIR%iomus.dll
- %WINDIR%swma.dll
- %WINDIR%helpldr.dll
- %WINDIR%rbcon.ini
- %USERPROFILE%AppDataLocalCMSkrman.ini
- %USERPROFILE%AppDataLocalVRT _ wputproc.dll
Hálózati tevékenysége során az alábbi irányokba (C&C szerverek) kísérel meg kommunikációt:
- bolepaund.com
- celebrat.net
- disk-fulldatabase.rhcloud.com
- easerver-fulldatabase.rhcloud.com
- gils.ho.ua
- lefting.org
- literat.ho.ua
- server-eacloud.rhcloud.com
- wallejob.in.ua
- wallex.ho.ua
- 91.228.146.12
- 91.228.146.11
- 91.228.146.11
- 91.228.146.13
- 91.228.146.12
- 91.228.146.13
- 185.68.16.35
- 54.152.171.48
- 54.175.208.187
- 23.22.38.222
- 54.163.210.39
- 52.23.164.7
- 23.22.221.237
Megoldás
- Az ESET Nod32 vírusírtója felismeri a kártevőt.
- Ne nyisson meg gyanús csatolmányú leveleket.
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket).
- Használjon offline biztonsági mentést, és naprakész antivirus alkalmazást.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.welivesecurity.com
