Redyms malware működése és eltávolítása

A Redyms (Win32/Redyms) egy trójai család, ami a keresőmotorok által talált oldalakat átirányítja egy Adobe Flash telepítőnek álcázott káros tartalmú szoftverre. A megfigyelések alapján a káros kódot a Blackhole (Blacole) néven ismert fertőzés terjeszti.

Működés

A Redyms malware a következő változtatásokat alkalmazza a registry-ben, hogy minden rendszerindításnál fusson:

  • Kulcs:  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
  • Érték:  <veletlenszeru_karakterek>, pl.: ‘feddfcfbac’
  • Adat:  <athelyezett_fajl>, pl.: “%APPDATA%\7f5ed85d-6828-4f92-858c-f40b0ac6813879\feddfcfbac.exe”

A Redyms futás közben beilleszti magát minden aktív folyamatba és az ‘ntdll!ZwResumeThread’ függvénnyel biztosítja, hogy minden újonnan létrehozott folyamatnál lehetősége legyen a befecskendezésre.

A fertőzés mutexeket (mutual exclusion – több programszál használhat közös erőforrásokat, de nem egyszerre) hoz létre, hogy legalább egy példánya fusson a rendszeren.

Példa az ilyen mutexekre: “Global\sw-<befecskendezett_folyamat_id>”, pl.: “Global\sw-71c” 

A folyamatokba beillesztett mutex pedig biztosítja, hogy minden újonnan létrehozott folyamatba be tudja illeszteni a kódját

Példa az ilyen mutexre:  “Global\<veletlenszeru_GUID>-ffffffff”, pl.: “Global\7f5ed85d-6828-4f92-858c-f40b0ac6813879-ffffffff”

A malware figyeli a felhasználó internetforgalmát a következő Windows függvények hookolásával:

  •  mswsock!WSPCloseSocket
  •  mswsock!WSPRecv
  •  mswsock!WSPSend

A káros kód megpróbál csatlakozni a ‘www.microsoft.com’ oldalra, ellenőrizve, hogy a számítógép online van-e. Ha megerősítette, hogy a számítógép internetkapcsolata él, megpróbálhat csatlakozni a ‘fsepzqgv-osvxg.net/fsepzqgv.php’ címre.

Általánosságban egy malware azért próbálhat távoli kiszolgálóhoz csatlakozni, hogy:

  • Internetkapcsolatot megerősítsen
  • Új fertőzés jelentsen a készítőjének
  • Konfigurációs vagy egyéb adatot fogadjon
  • További fájlokat töltsön le és futtasson
  • Utasításokat fogadjon távoli felhasználótól
  • Adatokat töltsön fel az érintett rendszerről

Megvizsgálja, hogy a folyamatok nevében böngészőre utaló karakterláncok találhatóak-e:

  • avant
  • browser
  • chrome
  • firefox
  • iexplo
  • maxthon
  • mozill
  • netsc
  • opera
  • safari

Ha a trójai keresést vagy az alábbi karakterláncok jelenlétét észleli a böngésző címsorában, átirányítja a felhasználó forgalmát káros tartalmú oldalra:

  • .ask.com 
  • search.aol. 
  • search.icq.com
  • search.xxx 
  • search.yahoo. 
  • www.alexa.com 
  • www.bing.com 
  • www.google. 
  • www.wiki.com 
  • www.yandex.com

Ha a trójai az ‘explorer.exe’ folyamat részeként fut, áthelyezi magát az %APPDATA%\<véletlenszerű_GUID>\<véletlenszerű_karakterek>.exe-be, és létrehoz egy bejegyzést a registry-ben, hogy tárolja a konfigurációs információkat:

  •  HKCU\SOFTWARE\Adobe\CSXS.2.5
  •  Érték: “LogLevel”
  •  Adat: “1”
  •  Érték: “tLastM_Reader”
  •  Adat: <binaris_adat> 

Eltávolítás

  • Microsoft Security Essentials letöltése és leírása vagy Windows Defender Windows 8 (8.1) rendszerekhez
  • http://www.microsoft.com/security/scanner/hu-hu/default.aspx Microsoft Safety Scanner (magyar leírással)

Megelőzés

A GitHubon található szöveges fájl tartalma alapján a fertőzőnek vélt címek irányába indított kapcsolatok tiltása.

Általános tanácsok fertőzések elkerülésére

Többrétegű védelem felépítése és ezek karbantartása

  • Aktív Network Threat Protection (NTP)
  • Intrusion Prevention System (IPS)
  • Tűzfal
  • Antivírus
  • Insight
  • SONAR

Támadási felület csökkentése

  • Alkalmazások futtatásának korlátozása
  • Csatlakoztatható eszközök korlátozása

További lehetőségek

  • Böngészők bővítményeinek patchelése(frissítése)
  • P2P használatának blokkolása
  • AutoPlay kikapcsolása (a Virut, Conficker/Downup fertőzések USB és hálózati meghajtókat fertőzve ‘autorun.inf’ állományt elhelyezve automatikusan futnak)
  • Operációs rendszer frissítéseinek telepítése (sérülékenységek javítása)
  • Erős jelszavak használata (időközönkénti megváltoztatása)
  • Felhasználói jogok korlátozása
  • Fájlmegosztás kikapcsolása (ha nem feltétlenül szükséges)
  • Email server beállítása, amely kiszűri a feltételezhetően káros csatolmányokat (.bat, .exe, .scr, .pif, .vbs kiterjesztésű fájlok)
  • Bluetooth kikapcsolása (Ha szükséges a munkavégzéshez, akkor a készülékek beállítása ‘Hidden’ módba (rejtett), hogy más eszközök ne tudják azonosítani. Ha eszközöket kell csatlakoztatni egymáshoz, akkor is ‘Unauthorized’ módban, hogy minden kapcsolat jogosultsághoz és megerősítéshez kötött)
  • Biztonsági mentések készítése

Linkek

  • http://windows.microsoft.com/hu-hu/windows-8/how-protect-pc-from-viruses
  • http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Win32/Redyms
  • http://www.enigmasoftware.com/win32redyms-removal/
  • http://www.pcthreat.com/parasitebyid-31622en.html