Összefoglaló
A Mysayad trójai az összetett funkciókkal rendelkező kártékony programok közzé tartozik. A trójai számos alkalmazásból és adatforrásból képes kigyűjteni azokat az adatokat és információkat, amelyekre a terjesztőinek szüksége van. Elsősorban rendszerinformációkat gyűjt be, majd a nyitott hálózati portokat, területi beállításokat, folyamatok listáját, valamint a telepített szoftvereket menti le.
A Mysayad trójai számos bizalmas adat begyűjtésére képes. A webböngészők által tárolt adatok iránt mutat fokozott érdeklődést (jelszavak, előzmények, cookie-k, felhasználónevek, stb.). A kártékony program jelenlegi variánsa kompatibilis a Firefox, Opera, és a Chrome böngészőkkel. A trójai ezen szoftverek mellet célba veszi az ismert szolgáltatásokhoz tartozó hitelesítő adatokat, valamint értékes adatokat próbál megszerezni a népszerű alkalmazásokból. A kártékony program a FileZilla, Putty, Winscp, Skype, és a GTalk által elmentett információkat kigyűjti, majd a kigyűjtött adatokat továbbítja egy távoli kiszolgálóra.
A Mysayad saját állományainak frissítésére képes, így folyamatosan változhat a kártékony program funkcionalitása.
Leírás
1.A következő állományokat hozza létre:
%UserProfile%Application DataClientDiagnosticsService.dll
%UserProfile%Application DataClientsqlite3.dll
%UserProfile%Application DataClient[véletlenszerű karakterek].dll
%UserProfile%Application DataClientbase.dll
%UserProfile%Application DataMicrosoftWindowsStorage[véletlenszerű karakterek].[véletlenszerű karakterek]
2.Az alábbi értékeket hozzáadja a regisztrációs adatbázishoz:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”DiagnosticsService” = “rundll32.exe %UserProfile%Application DataClientDiagnosticsService.dll”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[véletlenszerű karakterek]” = “rundll32.exe %UserProfile%Application DataClientDiagnosticsService.dll,[…]”
3.A billentyűleütéseket naplózza.
4.Lementi a Képernyőképeket.
5.A felhasználóneveket a területi beállításokat és a számítógép nevét kigyűjti.
6.A folyamatok és a telepített alkalmazások listáját, valamint a nyitott hálózati portokat lekérdezi.
7.Kiexportálja a felhasználói adatokat a Chrome, a Firefox és az Opera böngészőkből, a cookie-kat, a könyvjelzőket, az előzményeket és a proxy beállításokat.
8.Az alábbi alkalmazásokból hitelesítő adatokat gyűjt:
GTalk
Pidgin
Skype
Yahoo Messenger
Proxifier
FileZilla
Winscp
Putty
Remote Desktop
Kerio
9.Az alábbiak szerint az összegyűjtött adatokat lementi:
%UserProfile%Application DataMicrosoftWindowsStorage[véletlenszerű karakterek].[véletlenszerű karakterek]
10.Előre meghatározott szerverekre letölti az adatokat tartalmazó állományát.
11.A saját állományait rendszeresen időközönként frissíti.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
