PE_WINDEX.A-O trójai

CH azonosító

CH-11941

Angol cím

Ttrojan: PE_WINDEX.A-O

Felfedezés dátuma

2015.01.15.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows

Összefoglaló

Ez a kártékony program egy .zip fájlba van beágyazva, ami egy észak-koraeai weboldalról tölthető le. A program a felhasználó tudta nélkül töltődik le, mikor meglátogatja a weboldalt. Ezek után fogadja egy támadó parancsait, és információgyűjtő tevékenységet végez.

További elnevezések: PWS:Win32/Bzub (Microsoft), Win32/Spy.Agent.OAX trojan (ESET), Mal/Buzb-A (Sophos)

Leírás

A program az alábbi néven hozza létre magát a fertőzött rendszeren:

  • %Application Data%MicrosoftMessengerExtensionWdExt.exe

Befecskendezi magát az következő folyamatokba:

  • explorer.exe
  • iexplore.exe
  • ieuser.exe
  • firefox.exe
  • chrome.exe
  • msimn.exe
  • outlook.exe
  • winmail.exe
  • msnmsgr.exe
  • yahoomessenger.exe
  • ftp.exe

Az alábbi regisztrációs bejegyzést hozza létre az automatikus indulás érdekében:

HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionRun
Windows Defender Extension = “%Application Data%MicrosoftDefenderlaunch.exe”

Egy támadó az alábbiakat teheti egy hátsó ajtó nyitását követően:
  • Távoli parancsokat hajt végre
  • Listázza a folyamatokat
  • Listázza a mappákat és állományokat
  • Letölt és végrehajt állományokat
  • Feltölt állományokat
  • Képet készít a fertőzött rendszerről

Az alábbi URL-ekhez csatlakozik, és adatokat fogad/küld egy támadó irányába:

  • http://a.{BLOCKED}perl.sh
  • http://a-{BLOCKED}-01.slyip.net
  • http://{BLOCKED}was-01.dyndns.org

Az alábbi információkat küldi a vezérlő szerverének:

  • Dátum és idő(UTC)
  • Számítógép neve
  • Felhasználónév
  • OS információ
  • MAC cím
  • IP cím és alhálózati maszk
  • Adapter Információ
  • Network (Internet | Closed)
  • TTL Hop Limit
  • Network tipus (LAN | RAS | PROXY | MODEM | OFFLINE)

A következő állományokat másolja:

  • %Application Data%MicrosoftCachesFilesusd.dll
  • %Application Data%MicrosoftCommonShareddis.dll
  • %Application Data%MicrosoftIdentities{computer name}arc.dll
  • %Application Data%MicrosoftRepairssha.dll
  • %Application Data%MicrosoftSharedModulesfil.dll
  • %Application Data%MicrosoftWindowsAddinsatt.dll
  • %Application Data%MicrosoftDefenderlaunch.exe
  • %System%wtime32.dll
  • %System%mscaps.exe

A program csatlkakozik az alábbi URL-hez, hogy ellenőrizze az internet csatlakozást:

  • http://windowsupdate.microsoft.com

Ezek után törli magát.

Megjegyzések:

Az alábbi tevékenységeket végzi még:

  1. Letiltja a Windows hibaértesítő funkcióját
  2. Megfertőzi a .exe állományokat a megosztott mappákban, és a cserélhető adathordozókon
  3. Létrehozza az alábbi regisztrációs bejegyzést:
KEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{ef2b00e3-19da-4e78-b118-6b6451b719f2}
StubPath = “”%System%mscaps.exe” /s /n /i:U shell32.dll”
ComponentID = “DirectShow”
Version = “1,125,2406,1”
Locale = “*”

Megoldás

Vizsgálat előtt Windows XP, Windows Vista, and Windows 7 esetében titsa le a rendszer-visszaállítást a teljes vizsgálat engedélyezéséhez.

1.Índítsa újra számítógépét csökkentett módban.

Törölje az alábbi regisztrációs bejegyzést:

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{ef2b00e3-19da-4e78-b118-6b6451b719f2}

2.Törölje ezt a regisztrációs értéket:

In HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
Windows Defender Extension = “%Application Data%MicrosoftDefenderlaunch.exe

3.Keresse meg és törölje az alábbi állományokat:

  • %Application Data%MicrosoftMessengerExtensionWdExt.exe
  • %Application Data%MicrosoftCachesFilesusd.dll
  • %Application Data%MicrosoftCommonShareddis.dll
  • %Application Data%MicrosoftIdentities{computer name}arc.dll
  • %Application Data%MicrosoftRepairssha.dll
  • %Application Data%MicrosoftSharedModulesfil.dll
  • %Application Data%MicrosoftWindowsAddinsatt.dll
  • %Application Data%MicrosoftDefenderlaunch.exe
  • %System%wtime32.dll
  • %System%mscaps.exe

4.Ezek után indítsa újra számítógépét, és végezzen teljes rendszervizsgálatot.