Hesperbot.B trójai

CH azonosító

CH-10448

Angol cím

TrojanDropper:Win32/Hesperbot.B

Felfedezés dátuma

2014.01.22.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7

Érintett verziók

Windows 2000
Windows 7
Windows 95
Windows 98
Windows Me
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Összefoglaló

A Hesperbot.B egy olyan trójai, mely főként Európában próbálja ellopni a felhasználók banki jelszavait, a káros szoftver segítségével a támadók hozzáférhetnek a felhasználó PC-jéhez is. A malware főként levélszemét e-mail pdf mellékletéként terjed.

Leírás

Az alábbi fájlokat telepíti a káros szoftver:

  • <commonappdata> <random characters><random characters>.bkp 
  • <commonappdata> <random characters><random characters>.dat
  • <commonappdata> sun<random characters>.dat
  • <commonappdata> sun<random characters>.bkp

Az alábbi – a számítógéphez kapcsolódó – titkosított információkat tartalmazzák a telepített fájlok:

  • A rendszer telepítés dátuma
  • Machine GUID
  • Digitális termékazonosító
  • Számítógép neve
  • Processzor adatai

A Hesperbot.B az alábbi mutexet hozza létre, melyek megléte a fertőzöttségre utalhat:

  • Global<random characters>.mutex
  • Globallock_<random characters>
  • Globalinst_<random characters> 

A malware regisztrációs adatbázisban az alábbi módosításokat hajtja végre, annak érdekében, hogy a Windows indulásakor mindig elinduljon a káros szoftver is:

Alkulcs: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

Adat: <random key>=”%windir%<random characters><random name>.exe”

Hesperbot.B működésének központi eleme, hogy befecskendezi magát az újonnan létrehozott attrib.exe majd az explorer.exe folyamatokba. Ez az összetevő biztosítja a malware káros működését.

Hesperbot.B naplózhatja a felhasználó billenyűleütéseit, a naplózott információ tárolása céljából létrehoz egy keylog.txt fájlt.

Később továbbítás céljából az elkészült fájlt a keylog.7z-be tömöríti.

A malware működő internetkapcsolat ellenőrzése céljából az alábbi oldalakhoz kapcsolódik:

  • yahoo.com
  • facebook.com
  • google.com
  • wikipedia.org
  • microsoft.com

Ha talál működő internetkapcsolatot, akkor az alábbi szerverhez kapcsolódik:

  • dnshosting1.ws

Kapcsolódhat továbbá domain generáló algoritmus által véletlenszerűen létrehozott címhez is.

Megoldás

Használjon vírusírtót és tűzfalat, illetve időnként frissítse azokat.