Összefoglaló
A Zbot trójai a kezdetek óta adatlopást szolgál. Míg korábban különösen a bizalmas banki adatokra volt éhes, addig napjainkban már korántsem ennyire válogatós. A legújabb variánsa is megannyi bizalmas adat iránt mutat fokozott érdeklődést. Így például felhasználóneveket, jelszavakat, FTP hozzáférési információkat, e-mail címeket, postafiók adatokat és böngészési előzményeket is bezsebel.
Leírás
A Zbot.D az FTP-kliensek mellett különösen a webböngészőket állítja célkeresztbe. Azok folyamatainak megfertőzésével folyamatosan figyelemmel kíséri a felhasználó tevékenységét, és gyűjti a weboldalakon megadott adatokat.
A trójai egy billentyűzetfigyelő modullal is rendelkezik, amelynek aktiválódása után további értékes információkat tud gyűjteni, majd kiszivárogtatni.
Technikai Részletek:
1. Létrehoz két véletlenszerű fájlnévvel ellátott mappát az AppData könyvtárba.
2. Felmásolja a rendszerre a saját fájljait:
%AppData%[véletlenszerű fájlnevek][véletlenszerű fájlnevek].[véletlenszerű fájlnevek]
%AppData%[véletlenszerű fájlnevek][véletlenszerű fájlnevek].tmp
%AppData%[véletlenszerű fájlnevek][véletlenszerű fájlnevek].exe
%AppData%Identities{91FD83EF-B9F6-410E-97DC-5C667AC85868}MicrosoftOutlook ExpressSent Items.dbx
%AppData%Identities{91FD83EF-B9F6-410E-97DC-5C667AC85868}MicrosoftOutlook ExpressFolders.dbx
%AppData%Identities{91FD83EF-B9F6-410E-97DC-5C667AC85868}MicrosoftOutlook ExpressInbox.dbx
%AppData%Identities{91FD83EF-B9F6-410E-97DC-5C667AC85868}MicrosoftOutlook ExpressOffline.dbx
3. A regisztrációs adatbázishoz hozzáadja, illetve módosítja az alábbi értékeket:
HKEY_CURRENT_USERSoftwareMicrosoft[véletlenszerű fájlnevek]”[véletlenszerű fájlnevek]” = “[…]”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[véletlenszerű fájlnevek]” = “%AppData%[véletlenszerű fájlnevek][véletlenszerű fájlnevek].exe”
HKEY_CURRENT_USERSoftwareMicrosoftWABWAB4″FirstRun” = “1”
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerPrivacy”CleanCookies” = “0”
HKEY_CURRENT_USERSoftwareMicrosoftInternet Account ManagerAccounts”ConnectionSettingsMigrated” = “1”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionUnreadMail[USER NAME]@[NETWORK DOMAIN]”[TIME STAMP]” = “[HEXADECIMAL VALUE]”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones4″1609″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones4″1406″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3″1609″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3″1406″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones2″1609″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones1″1609″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones1″1406″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones�”1609″ = “0”
HKEY_CURRENT_USERIdentities{91FD83EF-B9F6-410E-97DC-5C667AC85868}SoftwareMicrosoftOutlook Express5.0″Compact Check Count” = “2”
4. Nyit egy hátsó kaput, és HTTP-n keresztül adatokat küld, illetve fogad.
5. Naplózza a billentyűleütéseket.
6. Kigyűjti a webböngészőkben letárolt bejelentkezési adatokat.
7. Összegyűjti az FTP-eléréseket.
8. Megfertőzi a webböngészők folyamatait, és figyelemmel kíséri a felhasználó tevékenységét.
9. A megszerzett adatokat kiszivárogtatja.
Megoldás
Naprakész vírusirtó és tűzfal használata.
Támadás típusa
backdoorHatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu
