Infostealer.Bankeiya trójai

CH azonosító

CH-10638

Angol cím

Infostealer.Bankeiya

Felfedezés dátuma

2014.02.26.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7

Érintett verziók

Windows 2000
Windows 7
Windows 95
Windows 98
Windows Me
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Összefoglaló

Az Infostealer.Bankeiya egy olyan trójai, amely átirányítja a fertőzött számítógép internetforgalmát, majd megkísérel információt lopni bizonyos weboldalakról.

Leírás

Amikor a trójai fut, az alábbi módosítást végzi a regisztrációs adatbázisban, annak érdekében, hogy a káros kód fusson a Windows indulásakor:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”IcpIpCfg” = “Rundll32 “%UserProfile%Application Data[RANDOM FILE NAME].dll” MainThread” 

Ezt követően a trójai megkísérli letölteni a konfigurációs beállításokat az alábbi URL-ről:

  • http://profile.hatena.ne.jp/ml[RANDOM NUMBER] 

Majd frissítés előtt elmenti a beállításokat az alábbi fájlba:

  • %UserProfile%Application Dataini.ini 

A káros program elküldi az operációs rendszer verziószámát a http://www.bttxs.com/getp.asp?MAC=&VER=[OS VERSION] helyre.

Ezután a trójai figyeli az Internet Explorer forgalmát az alábbi online banki oldalakhoz kapcsolódóan:

  • https://direct.jp-bank.japanpost.jp/tp1web/U010101SCK.do?link_id=ycDctLgn
  • https://web4.ib.mizuhobank.co.jp/servlet/mib?xtr=EmfLogOff&NLS=JP

Amikor a fenti URL-t látogatja a felhasználó, a káros program egy hamis bejelentési képernyőt aktivál a banki adatok ellopása érdekében. Sikeres tevékenység esetén a program értesíti a támadót a banki adatokról.

Megoldás

Használjon vírusírtót és tűzfalat, illetve rendszeresen frissítse azokat.