A Redyms (Win32/Redyms) egy trójai család, ami a keresőmotorok által talált oldalakat átirányítja egy Adobe Flash telepítőnek álcázott káros tartalmú szoftverre. A megfigyelések alapján a káros kódot a Blackhole (Blacole) néven ismert fertőzés terjeszti.
Működés
A Redyms malware a következő változtatásokat alkalmazza a registry-ben, hogy minden rendszerindításnál fusson:
- Kulcs: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
- Érték: <veletlenszeru_karakterek>, pl.: ‘feddfcfbac’
- Adat: <athelyezett_fajl>, pl.: „%APPDATA%\7f5ed85d-6828-4f92-858c-f40b0ac6813879\feddfcfbac.exe”
A Redyms futás közben beilleszti magát minden aktív folyamatba és az ‘ntdll!ZwResumeThread’ függvénnyel biztosítja, hogy minden újonnan létrehozott folyamatnál lehetősége legyen a befecskendezésre.
A fertőzés mutexeket (mutual exclusion – több programszál használhat közös erőforrásokat, de nem egyszerre) hoz létre, hogy legalább egy példánya fusson a rendszeren.
Példa az ilyen mutexekre: „Global\sw-<befecskendezett_folyamat_id>”, pl.: „Global\sw-71c”
A folyamatokba beillesztett mutex pedig biztosítja, hogy minden újonnan létrehozott folyamatba be tudja illeszteni a kódját
Példa az ilyen mutexre: „Global\<veletlenszeru_GUID>-ffffffff”, pl.: „Global\7f5ed85d-6828-4f92-858c-f40b0ac6813879-ffffffff”
A malware figyeli a felhasználó internetforgalmát a következő Windows függvények hookolásával:
- mswsock!WSPCloseSocket
- mswsock!WSPRecv
- mswsock!WSPSend
A káros kód megpróbál csatlakozni a ‘www.microsoft.com’ oldalra, ellenőrizve, hogy a számítógép online van-e. Ha megerősítette, hogy a számítógép internetkapcsolata él, megpróbálhat csatlakozni a ‘fsepzqgv-osvxg.net/fsepzqgv.php’ címre.
Általánosságban egy malware azért próbálhat távoli kiszolgálóhoz csatlakozni, hogy:
- Internetkapcsolatot megerősítsen
- Új fertőzés jelentsen a készítőjének
- Konfigurációs vagy egyéb adatot fogadjon
- További fájlokat töltsön le és futtasson
- Utasításokat fogadjon távoli felhasználótól
- Adatokat töltsön fel az érintett rendszerről
Megvizsgálja, hogy a folyamatok nevében böngészőre utaló karakterláncok találhatóak-e:
- avant
- browser
- chrome
- firefox
- iexplo
- maxthon
- mozill
- netsc
- opera
- safari
Ha a trójai keresést vagy az alábbi karakterláncok jelenlétét észleli a böngésző címsorában, átirányítja a felhasználó forgalmát káros tartalmú oldalra:
- .ask.com
- search.aol.
- search.icq.com
- search.xxx
- search.yahoo.
- www.alexa.com
- www.bing.com
- www.google.
- www.wiki.com
- www.yandex.com
Ha a trójai az ‘explorer.exe’ folyamat részeként fut, áthelyezi magát az %APPDATA%\<véletlenszerű_GUID>\<véletlenszerű_karakterek>.exe-be, és létrehoz egy bejegyzést a registry-ben, hogy tárolja a konfigurációs információkat:
- HKCU\SOFTWARE\Adobe\CSXS.2.5
- Érték: „LogLevel”
- Adat: „1”
- Érték: „tLastM_Reader”
- Adat: <binaris_adat>
Eltávolítás
- Microsoft Security Essentials letöltése és leírása vagy Windows Defender Windows 8 (8.1) rendszerekhez
- http://www.microsoft.com/security/scanner/hu-hu/default.aspx Microsoft Safety Scanner (magyar leírással)
Megelőzés
A GitHubon található szöveges fájl tartalma alapján a fertőzőnek vélt címek irányába indított kapcsolatok tiltása.
Általános tanácsok fertőzések elkerülésére
Többrétegű védelem felépítése és ezek karbantartása
- Aktív Network Threat Protection (NTP)
- Intrusion Prevention System (IPS)
- Tűzfal
- Antivírus
- Insight
- SONAR
Támadási felület csökkentése
- Alkalmazások futtatásának korlátozása
- Csatlakoztatható eszközök korlátozása
További lehetőségek
- Böngészők bővítményeinek patchelése(frissítése)
- P2P használatának blokkolása
- AutoPlay kikapcsolása (a Virut, Conficker/Downup fertőzések USB és hálózati meghajtókat fertőzve ‘autorun.inf’ állományt elhelyezve automatikusan futnak)
- Operációs rendszer frissítéseinek telepítése (sérülékenységek javítása)
- Erős jelszavak használata (időközönkénti megváltoztatása)
- Felhasználói jogok korlátozása
- Fájlmegosztás kikapcsolása (ha nem feltétlenül szükséges)
- Email server beállítása, amely kiszűri a feltételezhetően káros csatolmányokat (.bat, .exe, .scr, .pif, .vbs kiterjesztésű fájlok)
- Bluetooth kikapcsolása (Ha szükséges a munkavégzéshez, akkor a készülékek beállítása ‘Hidden’ módba (rejtett), hogy más eszközök ne tudják azonosítani. Ha eszközöket kell csatlakoztatni egymáshoz, akkor is ‘Unauthorized’ módban, hogy minden kapcsolat jogosultsághoz és megerősítéshez kötött)
- Biztonsági mentések készítése
Linkek
- http://windows.microsoft.com/hu-hu/windows-8/how-protect-pc-from-viruses
- http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Win32/Redyms
- http://www.enigmasoftware.com/win32redyms-removal/
- http://www.pcthreat.com/parasitebyid-31622en.html
