Infostealer.Boyapki

CH azonosító

CH-11153

Angol cím

Infostealer.Boyapki

Felfedezés dátuma

2014.05.21.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000
Windows 7
Windows 95
Windows 98
Windows Me
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Összefoglaló

A Boyapki trójai két bűnözői csoport tevékenységét segíti elő. Az egyik esetben támogatja az adathalászokat azzal, hogy átirányítást végez banki weboldalak megtekintésekor, ezáltal káros weblapra vezeti a felhasználókat. A másik esetben nyit egy hátsó kaput, ezáltal a külső támadásokkal szemben a fertőzött számítógépeket kiszolgáltatottá teszi.

A Boyapki jelenlegi variánsa kiszemelte a koreai bankok ügyfeleit, semmiféle akadálya nincs technikailag annak, hogy más országok pénzintézeteit vegye célba a Boyapki trójai egy másik variánsa. Ha más ország pénzintézetei kerülnek célba, akkor elsőként a banki adatok, a banki szolgáltatásokhoz tartozó felhasználónevek és jelszavak lesznek veszélyben.

A Boyapki trójai több vezérlőszerverhez kapcsolódik a hátsókapu nyitásakor. A vezérlőszerverekről azokat az utasításokat szerzi be, amelyek szükségesek a feladatai ellátásához. A terjesztői további fájlok letöltésére utasíthatják, frissíteni a vezérlőszerverek címlistáját, valamint a számítógép leállítására.

Leírás

1. Az alábbi állományokat hozza létre:
%Windir%[véletlenszerű karakterek]MUpdate.exe
%Windir%[véletlenszerű karakterek][véletlenszerű karakterek].dll
%System%drivershosts.ics
2. A következő bejegyzést hozzáadja a regisztrációs adatbázishoz:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”CTFM0N” = “%Windir%[véletlenszerű karakterek]MUpdate.exe %Windir%[véletlenszerű karakterek][véletlenszerű karakterek].dll,ALSTS_ExecuteAction”
3. A biztonsági alkalmazásokhoz tartozó folyamatokat leállítja.
4. Letölt egy bankok nevét és webcímét tartalmazó listát egy távoli kiszolgálóról.
5. Az alábbi állományt hozza létre, amivel hálózati átirányításokat hajt végre:
%System%drivershosts.ics
6. Egy NPKI, valamint egy abban megtalálható u.dat fájl után keresve feltérképezi a számítógépről elérhető összes meghajtót. Az állományt feltölti egy távoli szerverre, ha megtalálja.
7. A vezérlőszervereinek eléréséhez szükséges címlistát letölti egy távoli kiszolgálóról.
8. A 8761-es, a 8086-os és a 3666-os portokon keresztül csatlakozik a vezérlőszervereihez.
9. Egy hátsó kaput nyit, és a támadók parancsaira várakozik.