Összefoglaló
Az Infostealer.Pandebono egy trójai típusú kártevő, amely bizalmas információkat lop megfertőzött ATM-ekről.
Leírás
A trójai USB kapcsolaton kereztül érkezik az ATM-re.
A következő fájlokat, könyvtárakat és registry bejegyzést hozza létre:
- [DRIVE LETTER]:PROCOL 3.0.exe
- %WinDir%system32winini.log
- %WinDir%system32umstwinpins.dmp
- %WinDir%system32umstshadow.dmp
- %WinDir%system32ressmss.exe
- %WinDir%system32reslsass.exe
%WinDir%system32umst
%WinDir%system32res
HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesWindows Net Logon
A következő szolgáltatást hozza létre:
- Service Name: Windows Net Logon
A Pandebono a következő bizalmas információkat lopja el:
Bejelentkezési adatok.
- PIN kódok.
A trójai az ellopott információkat az alábbi fájlban tárolja:
%WinDir%system32umstwinpins.dmp
A Pandebono trójai a titkosított PIN kódokat eltárolja az alábbi fájlban, hogy azokat off-line módon feltörje (a folyamat neve “carding”).
shadow.dmp
A Pandebono trójai egy USB-s eltávolítható meghajtóra másolja az ellopott adatokat, ha a meghajtó root könyvtárában megtalálható a következő fájl:
copwincor.xxx
Támadás típusa
Security bypass (Biztonsági szabályok megkerülése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com