Összefoglaló
A Consmiper trójai több tucatnyi változtatást végez, és különösen a Windows regisztrációs adatbázisát forgatja fel.
Leírás
A fertőzése során megannyi új bejegyzést hoz létre vagy változtat meg, amelyek manuális eltávolítása sok időt vehet igénybe. Ráadásul a károkozó számos fájlt is felmásol a rendszerekre, miközben egy Consumer Input nevű alkalmazásnak adja ki magát. Két Windows-os szolgáltatás létrehozásával, valamint ütemezett feladatok beállításával gondoskodik arról, hogy a feladatait zökkenőmentesen tudja elvégezni.
A Consumer végső célja nem más, mint az adatlopás. A számára értékes információkat elsősorban egy Internet Explorer, illetve egy Firefox bővítmény segítségével gyűjti össze. Így például megszerzi a böngészési előzményeket, a felhasználó által megadott keresési kifejezéseket, az elmentett űrlapadatokat, a le- és feltöltésekre vonatkozó adatokat, az IP-címet, valamint a telepített alkalmazások neveit.
1. Létrehozza a következő mappákat:
- %ProgramFiles%Consumer Input
- %ProgramFiles%Setup Support for Consumer Input
- %UserProfile%Application DataCompeteConsumer Input
2. A fenti könyvtárakba bemásolja a saját állományait.
3. Ütemezett feladatokat hoz létre az alábbi fájlok révén:
- %System%TasksCIMT_S-1-5-21-3598304965-2135194631-3668321749-1001.job
- %System%TasksConsumerInputUpdateTaskMachineCore.job
- %System%TasksConsumerInputUpdateTaskMachineUA.job
4. A regisztrációs adatbázis következő kulcsaiba új bejegyzéseket hoz létre:
- HKEY_LOCAL_MACHINESOFTWAREClassesAppID
- HKEY_LOCAL_MACHINESOFTWAREGoogleChromeNativeMessagingHosts
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionApp Paths
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstaller
UserData - HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
- HKEY_LOCAL_MACHINESOFTWAREConsumerInput
- HKEY_USERSS-1-5-21-3598304965-2135194631-3668321749-1001SoftwareAppDataLowSoftwareCompete
- HKEY_USERSS-1-5-21-3598304965-2135194631-3668321749-1001SoftwareMicrosoftInternet ExplorerRecoveryAdminActive
- HKEY_USERSS-1-5-21-3598304965-2135194631-3668321749-1001SoftwareMozillaFirefoxExtensions
- HKEY_LOCAL_MACHINESOFTWAREClassesAppID
- HKEY_LOCAL_MACHINESOFTWAREClassesCLSID
- HKEY_LOCAL_MACHINESOFTWAREClassesInstallerFeatures
- HKEY_LOCAL_MACHINESOFTWAREClassesInterface
- HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib
- HKEY_LOCAL_MACHINESOFTWAREClasses
ConsumerInput.OneClickProcessLauncherMachine - HKEY_LOCAL_MACHINESOFTWAREClassesConsumerInputUpdate.CoCreateAsync
- HKEY_LOCAL_MACHINESOFTWAREClassesCptUrlPassthru.HttpHeaders
- HKEY_LOCAL_MACHINESOFTWAREClassesCptUrlPassthru.HttpHeaders.1
- HKEY_LOCAL_MACHINESOFTWAREClassesCptUrlPassthru.HttpMonitor
- HKEY_LOCAL_MACHINESOFTWAREClassesCptUrlPassthru.HttpMonitor.1
- HKEY_LOCAL_MACHINESOFTWAREClassesdcabho.Dca
- HKEY_LOCAL_MACHINESOFTWAREClassesdcabho.Dca.1
- HKEY_LOCAL_MACHINESOFTWAREClassesDcaHost.DcaHost
- HKEY_LOCAL_MACHINESOFTWAREClassesDcaHost.DcaHost.1
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerLow RightsElevationPolicy
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstaller
UpgradeCodes - HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstallerUserData
S-1-5-18Products - HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallConsumer Input Installer
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallSetup Support for Consumer Input
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall
- HKEY_LOCAL_MACHINESOFTWAREConsumerInputProducts
- HKEY_LOCAL_MACHINESOFTWAREConsumerInputUpdateClients
- HKEY_LOCAL_MACHINESOFTWAREConsumerInputUpdateClientState
- HKEY_USERSS-1-5-21-3598304965-2135194631-3668321749-1001SoftwareAppDataLowSoftwareCompetePartnerData
- HKEY_USERSS-1-5-21-3598304965-2135194631-3668321749-1001SoftwareAppDataLowSoftwareCompeteDCA
5. Létrehoz két Windows-os szolgáltatást az alábbi nevekkel:
- ConsumerInput Update Service (consumerinput_update)
- ConsumerInput Update Service (consumerinput_updatem)
Ezekhez a következő állományok tartoznak:
%ProgramFiles%Consumer InputUpdateConsumerInputUpdate.exe /svc
%ProgramFiles%Consumer InputUpdateConsumerInputUpdate.exe /medsvc
6. A regisztrációs adatbázishoz hozzáadja az alábbi kulcsokat:
- HKEY_LOCAL_MACHINESYSTEMControlSet001servicesconsumerinput_update
- HKEY_LOCAL_MACHINESYSTEMControlSet001servicesconsumerinput_updatem
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesconsumerinput_update
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesconsumerinput_updatem
7. Bővítményeket telepít az Internet Explorerhez és a Firefoxhoz.
8. A bővítményei segítségével adatokat gyűjt össze.
9. Az összegyűjtött adatokat feltölti egy távoli kiszolgálóra.
Megoldás
Frissítse a víruskeresője adatbázisát
Támadás típusa
Unspecified (Nem részletezett)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.isbk.hu
Egyéb referencia: www.symantec.com
