Tinba.B


2014. október 2. 13:04

CH azonosító

CH-11680

Angol cím

Tinba.B

Felfedezés dátuma

2014.10.01.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A Tinba.B Windows-os folyamatokat fertőz meg, amelyek mögül a háttérben, folyamatosan figyelemmel kíséri a hálózati aktivitást. 

Leírás

A Tinba.B Windows-os folyamatokat fertőz meg, amelyek mögül a háttérben, folyamatosan figyelemmel kíséri a hálózati aktivitást. Az adatlopáshoz pedig Windows és Internet Explorer által biztosított API-kat sem rest felhasználni.

A Tinba.B trójai működése erősen függ attól, hogy a terjesztői milyen utasításokkal látják el egy távoli vezérlőszerveren keresztül. A károkozó a kiszolgálójáról egy konfigurációs állományt szerez be, amelyben arról kap információkat, hogy mely domainek, IP-címek esetében kell a hálózati adatforgalmat lementenie, illetve feldolgoznia.

Amennyiben a vezérlőszerverét elvesztené, vagy a konfigurációs fájlban nem kap megfelelő információkat arra vonatkozóan, hogy hová kell az összegyűjtött adatokat továbbítania, akkor egy DGA (Domain Generation Algorithm) algoritmus segítségével domain neveket generál, amelyek alapján megpróbál távoli szerverekhez kapcsolódni.

Technikai részletek:

1. Létrehozza a következő állományt:

%UserProfile%Application Data[…]bin.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[…]” = “%UserProfile%Application Data[…]bin.exe”

3. A regisztrációs adatbázisban módosítja a következő bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3″1609″ = “0”

4. Konfigurációs állományokat tölt le az alábbiak szerint:
%UserProfile%Application Data[…]cfg.dat
%UserProfile%Application Data[…]web.dat

5. Megfertőzi a következő folyamatokat:
winver.exe
explorer.exe

6. Monitorozza a hálózati adatforgalmat azon domainek esetében, amelyek naplóinformációkat tartalmaznak.

7. Windows és Internet Explorer API-kat használ fel. 

8. Az összegyűjtött adatokat lementi az alábbiak szerint:
%UserProfile%Application Data[…]log.dat
%UserProfile%Application Data[…]ntf.dat

9. A fenti adatfájlokat időközönként feltölti a vezérlőszerverére.

10. Letölt, és elindít egy kártékony programot:
%UserProfile%Application Data[…].exe

Támadás típusa

Unspecified (Nem részletezett)

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-20236 – Cisco Webex App sebezhetősége
CVE-2017-5754 – Linux Kernel sebezhetősége
CVE-2014-0160 – OpenSSL Information Disclosure sebezhetősége
CVE-2025-23010 – SonicWall NetExtender Improper Link Resolution Before File Access ('Link Following') sebezhetősége
CVE-2025-23009 – SonicWall NetExtender Local Privilege Escalation sebezhetősége
CVE-2025-23008 – SonicWall NetExtender Improper Privilege Management sebezhetősége
CVE-2024-0132 – NVIDIA Container Toolkit sérülékenysége
CVE-2025-3102 – SureTriggers sérülékenysége
CVE-2025-24859 – Apache Roller sebezhetősége
Tovább a sérülékenységekhez »