Összefoglaló
A Zbot trójai legújabb variánsa alapvető céljait tekintve nem hozott újdonságot az elődjeihez képest, mivel továbbra is az adatlopást tartja szem előtt.
Leírás
A kártékony program különféle típusú információk megszerzésére alkalmas. Így például a webböngészőkben, az FTP-kliensekben, illetve a levelezőszoftverekben eltárolt hitelesítő adatokat is kigyűjti. Ezek mellett egy hátsó kapun keresztül lehetőséget biztosít a támadók számára az alábbi feladatok elvégzésére:
- billentyűleütések naplózása
- képernyőképek készítése
- proxy indítása
- VNC-alapú kapcsolat kiépítése.
A Zbot.C trójai meglehetősen sok módosítást hajt végre, mind a fájlrendszer, mind a regisztrációs adatbázis szintjén. Ennek során egyebek mellett az Internet Explorer zónabeállításait is manipulálja.
Technikai részletek:
1. Létrehozza a következő állományokat, mappákat:
%UserProfile%Application Datator
%UserProfile%Application Datatorlock
%UserProfile%Application Datatorstate
%UserProfile%Application Data[véletlenszerű karakterek]
%UserProfile%Application Data[véletlenszerű karakterek]
%UserProfile%Application Data[véletlenszerű karakterek][véletlenszerű karakterek].[véletlenszerű karakterek]
%UserProfile%Application Data[véletlenszerű karakterek][véletlenszerű karakterek].tmp
%UserProfile%Application Data[véletlenszerű karakterek][véletlenszerű karakterek].exe
%UserProfile%Local SettingsApplication DataIdentities{91FD83EF-B9F6-410E-97DC-5C667AC85868}MicrosoftOutlook ExpressSent Items.dbx
2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_CURRENT_USERSoftwareMicrosoftWupaby”Ilpyvi” = “[…]”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”{8691AC89-341E-AFD0-36CE-AE6C3F798526}” = “%UserProfile%Application Data[véletlenszerű karakterek][véletlenszerű karakterek].exe”
HKEY_CURRENT_USERSoftwareMicrosoftWABWAB4″FirstRun” = “1”
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerPrivacy”CleanCookies” = “0”
HKEY_CURRENT_USERSoftwareMicrosoftInternet Account ManagerAccounts”ConnectionSettingsMigrated” = “1”
3. Manipulálja a következő állományokat, amennyiben azok léteznek:
%UserProfile%Local SettingsApplication DataIdentities{91FD83EF-B9F6-410E-97DC-5C667AC85868}MicrosoftOutlook ExpressFolders.dbx
%UserProfile%Local SettingsApplication DataIdentities{91FD83EF-B9F6-410E-97DC-5C667AC85868}MicrosoftOutlook ExpressInbox.dbx
%UserProfile%Local SettingsApplication DataIdentities{91FD83EF-B9F6-410E-97DC-5C667AC85868}MicrosoftOutlook ExpressOffline.dbx
4. A regisztrációs adatbázisban módosítja a következő értékeket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionUnreadMail[USER NAME]@[NETWORK DOMAIN]”TimeStamp” = “[…]”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones4″1609″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones4″1406″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3″1609″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3″1406″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones2″1609″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones1″1609″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones1″1406″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones�”1609″ = “0”
HKEY_CURRENT_USERIdentities{91FD83EF-B9F6-410E-97DC-5C667AC85868}SoftwareMicrosoftOutlook Express5.0″Compact Check Count” = “2”
5. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.
6. Kigyűjti azokat az adatokat, amelyeket az alábbi alkalmazások tárolnak:
FAR
Core FTP
FTP Commander
Total Commander
Smart FTP
WS_FTP
7. További adatokat gyűjt webböngészőkből és a levelezőkliensekből.
8. A megszerzett adatokat kiszivárogtatja.
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
- Használjon offline biztonsági mentést!
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
