Banprox.B trójai

CH azonosító

CH-13057

Angol cím

Infostealer.Banprox.B

Felfedezés dátuma

2016.02.15.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 7, Windows Vista, Windows XP, Windows 8, Windows 8.1, Windows 10

Összefoglaló

A Banprox.B trójai adatlopási célokat szolgál. Az értékes adatokhoz azonban nem olyan módon próbál hozzájutni, hogy a billentyűleütéseket naplózza, hanem közvetlenül a webes böngészőkben megjelenő banki oldalakat manipulálja, azokba különféle kódokat szúr be. Amennyiben a felhasználó egy ilyen kompromittált weblapon, illetve az azon elhelyezett űrlapon adja meg az adatait, akkor azok rögtön a vírusterjesztők kezébe kerülnek.

A Banprox.B az Internet Explorer, valamint a Firefox böngészőkkel kompatibilis, jelenleg ezen alkalmazások folyamatos megfigyelésére képes. Fontos megjegyezni, hogy nem minden banki oldal esetén aktivizálódik, jelenleg leginkább orosz (.ru domain alatt működő) weblapokat manipulál.

Leírás

1. Létrehozza a következő állományokat:
%Temp%emsjapan.png
%Temp%sreda_02102016.exe

2. Manipulálja az alábbi fájlokat:
%SystemDrive%Documents and SettingsAdministratorApplication DataMozillaFirefoxProfilesbcfh5tat.defaultpreferencesgreprefs.js
%SystemDrive%Documents and SettingsAdministratorApplication DataMozillaFirefoxProfilesbcfh5tat.defaultpreferencesnixpref.js
%SystemDrive%Documents and SettingsAdministratorApplication DataMozillaFirefoxProfilesbcfh5tat.defaultpreferencesprefcalls.js
%SystemDrive%Documents and SettingsAdministratorApplication DataMozillaFirefoxProfilesbcfh5tat.defaultpreferenceswinpref.js

3. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesROOTCertificatesA9753DC515D30D1D048F33765B95C105EB58A403
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesROOTCertificatesA9753DC515D30D1D048F33765B95C105EB58A403Blob: Hex Blob
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsAutoConfigURL: “http://mssinfosys.com/9jyIc8/7lqm.rui”
HKEY_USERSS-1-5-21-1172441840-534431857-1906119351-500SoftwareMicrosoftInternet ExplorerPrivacyClearBrowsingHistoryOnExit: 0x00000001
HKEY_USERSS-1-5-21-1172441840-534431857-1906119351-500SoftwareMicrosoftInternet ExplorerPrivacyCleanTIF: 0x00000001
HKEY_USERSS-1-5-21-1172441840-534431857-1906119351-500SoftwareMicrosoftInternet ExplorerPrivacyUseAllowList: 0x00000000
HKEY_USERSS-1-5-21-1172441840-534431857-1906119351-500SoftwareMicrosoftWindowsCurrentVersionInternet SettingsAutoConfigURL: “http://mssinfosys.com/9jyIc8/7lqm.rui”
HKEY_USERSS-1-5-21-1172441840-534431857-1906119351-500SoftwareMicrosoftWindowsCurrentVersionInternet SettingsWarnonBadCertRecving: 0x00000000

4. Telepít egy gyökértanúsítványt.

5. Letölt egy fájlt egy távoli kiszolgálóról.

6. Folyamatosan monitorozza a megnyitott weboldalakat.

7. Amennyiben számára megfelelő banki oldalt észlel, akkor abba új kódokat injektál be.

8. Megpróbál bizalmas banki adatokhoz hozzáférni.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket).
  • Használjon offline biztonsági mentést.
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool