Összefoglaló
A Banprox.B trójai adatlopási célokat szolgál. Az értékes adatokhoz azonban nem olyan módon próbál hozzájutni, hogy a billentyűleütéseket naplózza, hanem közvetlenül a webes böngészőkben megjelenő banki oldalakat manipulálja, azokba különféle kódokat szúr be. Amennyiben a felhasználó egy ilyen kompromittált weblapon, illetve az azon elhelyezett űrlapon adja meg az adatait, akkor azok rögtön a vírusterjesztők kezébe kerülnek.
A Banprox.B az Internet Explorer, valamint a Firefox böngészőkkel kompatibilis, jelenleg ezen alkalmazások folyamatos megfigyelésére képes. Fontos megjegyezni, hogy nem minden banki oldal esetén aktivizálódik, jelenleg leginkább orosz (.ru domain alatt működő) weblapokat manipulál.
Leírás
1. Létrehozza a következő állományokat:
%Temp%emsjapan.png
%Temp%sreda_02102016.exe
2. Manipulálja az alábbi fájlokat:
%SystemDrive%Documents and SettingsAdministratorApplication DataMozillaFirefoxProfilesbcfh5tat.defaultpreferencesgreprefs.js
%SystemDrive%Documents and SettingsAdministratorApplication DataMozillaFirefoxProfilesbcfh5tat.defaultpreferencesnixpref.js
%SystemDrive%Documents and SettingsAdministratorApplication DataMozillaFirefoxProfilesbcfh5tat.defaultpreferencesprefcalls.js
%SystemDrive%Documents and SettingsAdministratorApplication DataMozillaFirefoxProfilesbcfh5tat.defaultpreferenceswinpref.js
3. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesROOTCertificatesA9753DC515D30D1D048F33765B95C105EB58A403
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesROOTCertificatesA9753DC515D30D1D048F33765B95C105EB58A403Blob: Hex Blob
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsAutoConfigURL: “http://mssinfosys.com/9jyIc8/7lqm.rui”
HKEY_USERSS-1-5-21-1172441840-534431857-1906119351-500SoftwareMicrosoftInternet ExplorerPrivacyClearBrowsingHistoryOnExit: 0x00000001
HKEY_USERSS-1-5-21-1172441840-534431857-1906119351-500SoftwareMicrosoftInternet ExplorerPrivacyCleanTIF: 0x00000001
HKEY_USERSS-1-5-21-1172441840-534431857-1906119351-500SoftwareMicrosoftInternet ExplorerPrivacyUseAllowList: 0x00000000
HKEY_USERSS-1-5-21-1172441840-534431857-1906119351-500SoftwareMicrosoftWindowsCurrentVersionInternet SettingsAutoConfigURL: “http://mssinfosys.com/9jyIc8/7lqm.rui”
HKEY_USERSS-1-5-21-1172441840-534431857-1906119351-500SoftwareMicrosoftWindowsCurrentVersionInternet SettingsWarnonBadCertRecving: 0x00000000
4. Telepít egy gyökértanúsítványt.
5. Letölt egy fájlt egy távoli kiszolgálóról.
6. Folyamatosan monitorozza a megnyitott weboldalakat.
7. Amennyiben számára megfelelő banki oldalt észlel, akkor abba új kódokat injektál be.
8. Megpróbál bizalmas banki adatokhoz hozzáférni.
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket).
- Használjon offline biztonsági mentést.
- Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Trójai
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu