Összefoglaló
Az Infostealer.Bankeiya egy olyan trójai, amely átirányítja a fertőzött számítógép internetforgalmát, majd megkísérel információt lopni bizonyos weboldalakról.
Leírás
Amikor a trójai fut, az alábbi módosítást végzi a regisztrációs adatbázisban, annak érdekében, hogy a káros kód fusson a Windows indulásakor:
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”IcpIpCfg” = “Rundll32 “%UserProfile%Application Data[RANDOM FILE NAME].dll” MainThread”
Ezt követően a trójai megkísérli letölteni a konfigurációs beállításokat az alábbi URL-ről:
- http://profile.hatena.ne.jp/ml[RANDOM NUMBER]
Majd frissítés előtt elmenti a beállításokat az alábbi fájlba:
- %UserProfile%Application Dataini.ini
A káros program elküldi az operációs rendszer verziószámát a http://www.bttxs.com/getp.asp?MAC=&VER=[OS VERSION] helyre.
Ezután a trójai figyeli az Internet Explorer forgalmát az alábbi online banki oldalakhoz kapcsolódóan:
- https://direct.jp-bank.japanpost.jp/tp1web/U010101SCK.do?link_id=ycDctLgn
- https://web4.ib.mizuhobank.co.jp/servlet/mib?xtr=EmfLogOff&NLS=JP
Amikor a fenti URL-t látogatja a felhasználó, a káros program egy hamis bejelentési képernyőt aktivál a banki adatok ellopása érdekében. Sikeres tevékenység esetén a program értesíti a támadót a banki adatokról.
Megoldás
Használjon vírusírtót és tűzfalat, illetve rendszeresen frissítse azokat.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Other (Egyéb)
Unknown (Ismeretlen)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com