Összefoglaló
A Poslusy.A trójai az Internet Explorer folyamata mögött lapul, miközben a háttérben folyamatosan kémleli a leggyakoribb Windows-os rendszerfolyamatokat, illetve a különféle alkalmazásokhoz, például a webböngészőkhöz tartozó folyamatokat. Az e folyamatokhoz tartozó memóriabeli adatokat lementi, és az ilyen módon képző dump fájlokat elemzi. Ennek során hitelkártyaszámokat próbál felkutatni, illetve összegyűjteni. Amennyiben ez sikerül számára, akkor a bizalmas adatokat kiszivárogtatja a terjesztői számára.
Leírás
A Poslusy.A többnyire VeriFone32 néven jelenik meg a rendszereken, de amint megfertőz egy számítógépet, akkor a távoli vezérlőszerveréről további állományokat szerez be.
A kártékony program elsősorban a POS terminálokra jelent veszélyt.
1. Létrehozza a következő állományokat:
[a kémprogram elérési útvonala]mbambservice.exe
[a kémprogram elérési útvonala]ibcurl.dll
[a kémprogram elérési útvonala]zlib1.dll
%Application Data%VeriFone32libcurl.dll
%Application Data%VeriFone32mbambservice.exe
%Application Data%VeriFone32zlib1.dll
2. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.
3. Létrehozza az alábbi mappát:
%Application Data%VeriFone32
4. A fenti könyvtárba bemásol egy verifone32.exe nevű fájlt.
5. Elindít vagy megfertőz egy iexplore.exe folyamatot.
6. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunVeriFone32 = „%Application Data%VeriFone32verifone32.exe”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesAssociations
Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0 = „.exe;.bat;.reg;.vbs;”
HKEY_CURRENT_USERSoftwareVerifone32
HKEY_CURRENT_USERSoftwareVerifone32Digitb00 = „{GUID}”
7. Csatlakozik előre meghatározott távoli webszerverekhez.
8. Letörli azt a fájlt, amellyel eredetileg felkerült a rendszerre.
9. Folyamatosan kémleli a következő folyamatokat, és memória dumpokat készít.
wmiprvse.exe
LogonUI.exe
svchost.exe
iexplore.exe
explorer.exe
System
smss.exe
csrss.exe
winlogon.exe
lsass.exe
spoolsv.exe
alg.exe
wuauclt.exe
firefox.exe
chrome.exe
devenv.exe
10. A memória dumpokban hitelkártyaszámokat keres.
11. A megszerzett adatokat kiszivárogtatja.
Megoldás
Vírusirtó segítségével távolítsa el a fertőzést.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.isbk.hu
