Összefoglaló
Ez a kártékony program egy .zip fájlba van beágyazva, ami egy észak-koraeai weboldalról tölthető le. A program a felhasználó tudta nélkül töltődik le, mikor meglátogatja a weboldalt. Ezek után fogadja egy támadó parancsait, és információgyűjtő tevékenységet végez.
További elnevezések: PWS:Win32/Bzub (Microsoft), Win32/Spy.Agent.OAX trojan (ESET), Mal/Buzb-A (Sophos)
Leírás
A program az alábbi néven hozza létre magát a fertőzött rendszeren:
- %Application Data%MicrosoftMessengerExtensionWdExt.exe
Befecskendezi magát az következő folyamatokba:
- explorer.exe
- iexplore.exe
- ieuser.exe
- firefox.exe
- chrome.exe
- msimn.exe
- outlook.exe
- winmail.exe
- msnmsgr.exe
- yahoomessenger.exe
- ftp.exe
Az alábbi regisztrációs bejegyzést hozza létre az automatikus indulás érdekében:
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionRun
Windows Defender Extension = “%Application Data%MicrosoftDefenderlaunch.exe”
- Távoli parancsokat hajt végre
- Listázza a folyamatokat
- Listázza a mappákat és állományokat
- Letölt és végrehajt állományokat
- Feltölt állományokat
- Képet készít a fertőzött rendszerről
Az alábbi URL-ekhez csatlakozik, és adatokat fogad/küld egy támadó irányába:
- http://a.{BLOCKED}perl.sh
- http://a-{BLOCKED}-01.slyip.net
- http://{BLOCKED}was-01.dyndns.org
Az alábbi információkat küldi a vezérlő szerverének:
- Dátum és idő(UTC)
- Számítógép neve
- Felhasználónév
- OS információ
- MAC cím
- IP cím és alhálózati maszk
- Adapter Információ
- Network (Internet | Closed)
- TTL Hop Limit
- Network tipus (LAN | RAS | PROXY | MODEM | OFFLINE)
A következő állományokat másolja:
- %Application Data%MicrosoftCachesFilesusd.dll
- %Application Data%MicrosoftCommonShareddis.dll
- %Application Data%MicrosoftIdentities{computer name}arc.dll
- %Application Data%MicrosoftRepairssha.dll
- %Application Data%MicrosoftSharedModulesfil.dll
- %Application Data%MicrosoftWindowsAddinsatt.dll
- %Application Data%MicrosoftDefenderlaunch.exe
- %System%wtime32.dll
- %System%mscaps.exe
A program csatlkakozik az alábbi URL-hez, hogy ellenőrizze az internet csatlakozást:
- http://windowsupdate.microsoft.com
Ezek után törli magát.
Megjegyzések:
Az alábbi tevékenységeket végzi még:
- Letiltja a Windows hibaértesítő funkcióját
- Megfertőzi a .exe állományokat a megosztott mappákban, és a cserélhető adathordozókon
- Létrehozza az alábbi regisztrációs bejegyzést:
KEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{ef2b00e3-19da-4e78-b118-6b6451b719f2}
StubPath = “”%System%mscaps.exe” /s /n /i:U shell32.dll”
ComponentID = “DirectShow”
Version = “1,125,2406,1”
Locale = “*”
Megoldás
Vizsgálat előtt Windows XP, Windows Vista, and Windows 7 esetében titsa le a rendszer-visszaállítást a teljes vizsgálat engedélyezéséhez.
1.Índítsa újra számítógépét csökkentett módban.
Törölje az alábbi regisztrációs bejegyzést:
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{ef2b00e3-19da-4e78-b118-6b6451b719f2}
2.Törölje ezt a regisztrációs értéket:
In HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
Windows Defender Extension = “%Application Data%MicrosoftDefenderlaunch.exe
3.Keresse meg és törölje az alábbi állományokat:
- %Application Data%MicrosoftMessengerExtensionWdExt.exe
- %Application Data%MicrosoftCachesFilesusd.dll
- %Application Data%MicrosoftCommonShareddis.dll
- %Application Data%MicrosoftIdentities{computer name}arc.dll
- %Application Data%MicrosoftRepairssha.dll
- %Application Data%MicrosoftSharedModulesfil.dll
- %Application Data%MicrosoftWindowsAddinsatt.dll
- %Application Data%MicrosoftDefenderlaunch.exe
- %System%wtime32.dll
- %System%mscaps.exe
4.Ezek után indítsa újra számítógépét, és végezzen teljes rendszervizsgálatot.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.trendmicro.com
