Összefoglaló
A Win32/Rongvhin egy olyan malvercsaládból származik, amely kattintás alapú csalást végez.
A PC-t alkalmazásokon keresztül fertőzheti meg a CrossFire játék használatával.
Leírás
Kártevő viselkedése:
A Win32/Rongvhin egy olyan malware családból származik, amely kattintás alapú csalást végez.
A PC-t alkalmazásokon keresztül fertőzheti meg a CrossFire játék használatával.
Installálás:
A Rongvhin tartalmaz egy dropper komponenst (például a TrojanDropper:Win32/Rongvhin.A), amely a Crossfire játék hack alkalmazásaiként érkezhet a számítógépre. A fájl neve rendszerint xtrap.xt.
A dropper komponensei letöltik a fő kattintás alapú csaló komponenst. Ez a következő fájlnevek bármelyike lehet:
- %windir%adsminirun.exe
- %windir%adsminirun2.exe
- %windir%ads.exe
- %windir%ads1.exe
- %windir%ads2.exe
- %windir%ads3.exe
- %windir%click.exe
- %windir%clickads.exe
- %windir%miniads.exe
- %windir%miniads1.exe
- %windir%miniads2.exe
A dropper a következő registry bejegyzéseket hozza létre, hogy meggyőződjön a fő komponens futtatásáról minden Windows újraindításnál:
A főkulcsban: HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Állítsa be az értéket: “<random string>”, például “adsacquy”
Ezzel az adatta: “<name of the main click fraud component>”, például “%windir%ads.exe”
Ezután a dropper futtatja a fő kattintásos csaló összetevőt.
Payload:
Kattintás alapú csalást hajt végre:
A fő komponens csatlakozik az előre meghatározott szerverhez hogy fogadhassa az információkat a kattintásos csalás tevékenységeihez.
A Win32/Rongvhin a következő szerverekhez csatlakozik:
- modzvinacf.blogspot.com
- 120.72.85.141
Némely pay-per-click (kattintásonként fizető) szolgáltató amelyeket becsap a kattintós malware:
- adf.ly
- bc.vc
- cf.ly
- iiiii.in
- linkbucks.com
- popads.net
- poponclick.com
- riurl.com
- smileptp.info
- ulmt.in
- wwy.me
Megakadályozza hogy bizonyos weblapokhoz hozzáférjünk:
A Rongvhin néhány variánsa külön bejegyzéseket tehet a Windows Hosts fájljába hogy megakadályozza a hozzáférést az alábbi weboldalakhoz:
- 4vcoin.com
- 9hack.net
- asiadot.asia
- auto.congdonggame.net
- cabalviet.net
- cabalvina.com
- congdonggame.net
- gamethuvn.com
- gamethuvn.net
- hack-game.in
- hack.dianguc.tv
- hackaudition.info
- hackcf.in
- hackcf.tv
- hackcucdinh.blogspot.com
- hackdotkich.info
- hackvcoin.in
- hackvcoin.net
- hackzingspeed.com
- home.topgamethu.com
- kiemthe123.com
- maxmu.vn
- mu.gamethuvn.net
- muasung.biz
- mukimthan.com
- mumoi2013.com
- mumoi2013.net
- muonline-hanoi.vn
- muviet.vn
- progamethu.com
- superhackcf.com
- taigamemu.blogspot.com
- timhack.com
- vcoinvtc.info
- xathu.net
- xgamethu.com
Parancsikonokat hoz létre:
A Win32/Rongvhin parancsikonokat is hozhat létre a következő nevekkel, amelyek a www.dankinthe.vn weboldalra mutatnak:
%AllUserProfile%DesktopGoogle Firefox.url
%AllUserProfile%DesktopInternet Explorer.url
%AllUserProfile%DesktopMozilla Firefox.url
%UserProfile%DesktopGoogle Firefox.url
%UserProfile%DesktopInternet Explorer.url
%UserProfile%DesktopMozilla Firefox.url
Törli a gyorsítótárat:
A Win32/Rongvhin az alábbi parancsot futtatja hogy rendszeresen fájlokat töröljön a Temporary Internet Files mappából:
RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 8
További információk:
Néhány variáns letöltheti a C:ipcheck.txt-t számítógépre. A régebbi változatok a Leader.dat-ot is.
Tünetek:
A következő tünetek jelezhetik, hogy ez a malware jelen van a gépén:
Ezek a fájlok megtalálhatóak a gépen:
%windir%adsminirun.exe
%windir%adsminirun2.exe
%windir%ads.exe
%windir%ads1.exe
%windir%ads2.exe
%windir%ads3.exe
%windir%click.exe
%windir%clickads.exe
%windir%miniads.exe
%windir%miniads1.exe
%windir%miniads2.exe
Valamint ezeket a weboldalakat nem tudja megnyitni:
– 4vcoin.com
– 9hack.net
– asiadot.asia
– auto.congdonggame.net
– cabalviet.net
– cabalvina.com
– congdonggame.net
– gamethuvn.com
– gamethuvn.net
– hack-game.in
– hack.dianguc.tv
– hackaudition.info
– hackcf.in
– hackcf.tv
– hackcucdinh.blogspot.com
– hackdotkich.info
– hackvcoin.in
– hackvcoin.net
– hackzingspeed.com
– home.topgamethu.com
– kiemthe123.com
– maxmu.vn
– mu.gamethuvn.net
– muasung.biz
– mukimthan.com
– mumoi2013.com
– mumoi2013.net
– muonline-hanoi.vn
– muviet.vn
– progamethu.com
– superhackcf.com
– taigamemu.blogspot.com
– timhack.com
– vcoinvtc.info
– xathu.net
– xgamethu.com
