Backoff káros kód (PoS malware)

CH azonosító

CH-11474

Angol cím

Backoff malware

Felfedezés dátuma

2014.07.30.

Súlyosság

Alacsony

Érintett rendszerek

Point-of-Sale Systems

Érintett verziók

Point-of-Sale Systems

Összefoglaló

A “Backoff” a PoS malwarecsalád tagja, és jelenleg három fő változata ismert: az 1.4, az 1.55 és az 1.56.

Leírás

A káros kód jellemzően az alábbi rosszindulatú tevékenységeket végezheti:

  • hozzáférhet a memóriában lévő adatokhoz
  • naplózza a billentyűleütéseket
  • C&C kommunikációt végez
  • káros sorokat fecskendez az explorer.exe-be

Az alábbi adatok, fájlok megléte utalhat a fertőzésre:

1.4

  • Packed MD5: 927AE15DBF549BD60EDCDEAFB49B829E
  • Unpacked MD5: 6A0E49C5E332DF3AF78823CA4A655AE8
  • Telepítés helye: %APPDATA%AdobeFlashPlayermswinsvc.exe
  • Mutexek: uhYtntr56uisGst, uyhnJmkuTgD
  • Módosított fájlok: %APPDATA%mskrnl, %APPDATA%winserv.exe, %APPDATA%AdobeFlashPlayermswinsvc.exe, Static String (POST Request): zXqW9JdWLM4urgjRkX
  • Regisztrációs adatbázis: HKCUSOFTWAREMicrosoftWindowsCurrentVersionidentifier; HKCU SOFTWARE MicrosoftWindowsCurrentVersionRunWindows NT Service
  • Környezet: Mozilla/4.0
  • URI(s): /aircanada/dark.php

1.55 “backoff”

  • Packed MD5: F5B4786C28CCF43E569CB21A6122A97E
  • Unpacked MD5: CA4D58C61D463F35576C58F25916F258
  • Telepítés helye: %APPDATA%AdobeFlashPlayermswinhost.exe
  • Mutexek: Undsa8301nskal, uyhnJmkuTgD
  • Módosított fájlok%APPDATA%mskrnl, %APPDATA%winserv.exe, %APPDATA%AdobeFlashPlayermswinhost.exe, %APPDATA%AdobeFlashPlayerLocal.dat, %APPDATA%AdobeFlashPlayerLog.txt
  • Változó (POST lekérdezés): ihasd3jasdhkas
  • Registry Keys: HKCUSOFTWAREMicrosoftWindowsCurrentVersionidentifier, HKCU SOFTWARE MicrosoftWindowsCurrentVersionRunWindows NT Service
  • Környezet: Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0
  • URI(s): /aero2/fly.php

1.55 “goo”

  • Packed MD5: 17E1173F6FC7E920405F8DBDE8C9ECAC
  • Unpacked MD5: D397D2CC9DE41FB5B5D897D1E665C549
  • Telepítés helye: %APPDATA%OracleJavajavaw.exe
  • Mutexek: nUndsa8301nskal, nuyhnJmkuTgD
  • Módosított fájlok%APPDATA%nsskrnl, %APPDATA%winserv.exe, %APPDATA%OracleJavajavaw.exe, %APPDATA%OracleJavaLocal.dat, %APPDATA%OracleJavaLog.txt
  • Változó (POST lekérdezés): jhgtsd7fjmytkr
  • Regisztrációs adatbázis: HKCUSOFTWAREMicrosoftWindowsCurrentVersionidentifier, HKCU SOFTWARE MicrosoftWindowsCurrentVersionRunWindows NT Service
  • URI: /windows/updcheck.php

1.55 “MAY”

  • Packed MD5: 21E61EB9F5C1E1226F9D69CBFD1BF61B
  • Unpacked MD5: CA608E7996DED0E5009DB6CC54E08749
  • Telepítés helye: %APPDATA%OracleJavajavaw.exe
  • Mutexek: nUndsa8301nskal, nuyhnJmkuTgD
  • Módosított fájlok%APPDATA%nsskrnl, %APPDATA%winserv.exe, %APPDATA%OracleJavajavaw.exe, %APPDATA%OracleJavaLocal.dat, %APPDATA%OracleJavaLog.txt
  • Változó (POST Request): jhgtsd7fjmytkr
  • Registrációs adatbázis: HKCUSOFTWAREMicrosoftWindowsCurrentVersionidentifier, HKCU SOFTWARE MicrosoftWindowsCurrentVersionRunWindows NT Service
  • URI: /windowsxp/updcheck.php

1.55 “net”

  • Packed MD5: 0607CE9793EEA0A42819957528D92B02
  • Unpacked MD5: 5C1474EA275A05A2668B823D055858D9
  • Telepítés helye: %APPDATA%AdobeFlashPlayermswinhost.exe
  • Mutex: nUndsa8301nskal
  • Módosított fájlok%APPDATA%AdobeFlashPlayermswinhost.exe, %APPDATA%AdobeFlashPlayerLocal.dat, %APPDATA%AdobeFlashPlayerLog.txt
  • Változó (POST Request): ihasd3jasdhkas9
  • Registrációs adatbázis: HKCUSOFTWAREMicrosoftWindowsCurrentVersionidentifier, HKCU SOFTWARE MicrosoftWindowsCurrentVersionRunWindows NT Service
  • URI: /windowsxp/updcheck.php

1.56 “LAST”

  • Packed MD5: 12C9C0BC18FDF98189457A9D112EEBFC
  • Unpacked MD5: 205947B57D41145B857DE18E43EFB794
  • Install Path: %APPDATA%OracleJavajavaw.exe
  • Mutex: nUndsa8301nskal, nuyhnJmkuTgD
  • Módosított fájlok: %APPDATA%nsskrnl, %APPDATA%winserv.exe, %APPDATA%OracleJavajavaw.exe, %APPDATA%OracleJavaLocal.dat, %APPDATA%OracleJavaLog.txt
  • Változó (POST): jhgtsd7fjmytkr
  • Registrációs adatbázis: HKCUSOFTWAREMicrosoftWindowsCurrentVersionidentifier, HKCU SOFTWARE MicrosoftWindowsCurrentVersionRunWindows NT Service, HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunWindows NT Service, HKCUSOFTWARE\MicrosoftActive SetupInstalled Components{B3DB0D62-B481-4929-888B-49F426C1A136}StubPath, HKLMSOFTWARE\MicrosoftActive SetupInstalled Components{B3DB0D62-B481-4929-888B-49F426C1A136}StubPath
  • User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0
  • URI(s):  /windebug/updcheck.php