Összefoglaló
A Retgate trójai a felhasználók adatait, jelszavait próbálja megszerezni. Ezt kétféle módon tudja végrehajtani. Az egyik mód, hogy a Firefox böngészőt manipulálja: amikor a felhasználó bejelentkezik egy web oldalra, akkor a hitelesítéshez használt adatokat a trójai össze tudja gyűjteni. Másrészt a kártékony program az Outlookból is igyekszik kinyerni a postafiókokhoz tartozó információkat. A trójai általában a böngésző és a levelező programok mögé elbújik. A trójai az összegyűjtött adatokat titkosítja, majd feltölti egy távoli kiszolgálóra.
Leírás
1. Létrehozza a következő fájlt:
%AppData%SubFolderSubFolderwinlogon.exe
2. Manipulálja a Firefox alábbi állományát:
%AllUsersProfile%MozillaFirefoxprefs.js
Ehhez a következő sorokat fűzi hozzá:
user_pref(“network.http.spdy.enabled.v3”, false)
user_pref(“network.http.spdy.enabled.v3-1”, false)
user_pref(“network.http.spdy.enabled”, false)
3. A regisztrációs adatbázisban módosítja a következő értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings”EnableSPDY3_0″=”0″
4. Megfertőzi az alábbi folyamatokat, amennyiben azok léteznek:
outlook.exe
firefox.exe
chrome.exe
iexplore.exe
5. Felhasználóneveket és jelszavakat gyűjt össze az Outlook alkalmazásból.
6. Weboldalakhoz tartozó hitelesítő adatokat ment le.
7. Az összegyűjtött adatokat titkosítva feltölti egy távoli kiszolgálóra:
[http://]www.securemediaserver.net/ret/gat[REMOVED]
Támadás típusa
Hijacking (Visszaélés)Information disclosure (Információ/adat szivárgás)
Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com