Poslusy.A

CH azonosító

CH-11878

Angol cím

Poslusy.A

Felfedezés dátuma

2014.12.17.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Poslusy.A trójai az Internet Explorer folyamata mögött lapul, miközben a háttérben folyamatosan kémleli a leggyakoribb Windows-os rendszerfolyamatokat, illetve a különféle alkalmazásokhoz, például a webböngészőkhöz tartozó folyamatokat. Az e folyamatokhoz tartozó memóriabeli adatokat lementi, és az ilyen módon képző dump fájlokat elemzi. Ennek során hitelkártyaszámokat próbál felkutatni, illetve összegyűjteni. Amennyiben ez sikerül számára, akkor a bizalmas adatokat kiszivárogtatja a terjesztői számára.

Leírás

A Poslusy.A többnyire VeriFone32 néven jelenik meg a rendszereken, de amint megfertőz egy számítógépet, akkor a távoli vezérlőszerveréről további állományokat szerez be. 

A kártékony program elsősorban a POS terminálokra jelent veszélyt.

1. Létrehozza a következő állományokat:
[a kémprogram elérési útvonala]mbambservice.exe
[a kémprogram elérési útvonala]ibcurl.dll
[a kémprogram elérési útvonala]zlib1.dll
%Application Data%VeriFone32libcurl.dll
%Application Data%VeriFone32mbambservice.exe
%Application Data%VeriFone32zlib1.dll

2. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.

3. Létrehozza az alábbi mappát:
%Application Data%VeriFone32

4. A fenti könyvtárba bemásol egy verifone32.exe nevű fájlt.

5. Elindít vagy megfertőz egy iexplore.exe folyamatot.

6. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunVeriFone32 = “%Application Data%VeriFone32verifone32.exe”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesAssociations
Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0 = “.exe;.bat;.reg;.vbs;”

HKEY_CURRENT_USERSoftwareVerifone32
HKEY_CURRENT_USERSoftwareVerifone32Digitb00 = “{GUID}”

7. Csatlakozik előre meghatározott távoli webszerverekhez.

8. Letörli azt a fájlt, amellyel eredetileg felkerült a rendszerre. 

9. Folyamatosan kémleli a következő folyamatokat, és memória dumpokat készít.
wmiprvse.exe
LogonUI.exe
svchost.exe
iexplore.exe
explorer.exe
System
smss.exe
csrss.exe
winlogon.exe
lsass.exe
spoolsv.exe
alg.exe
wuauclt.exe
firefox.exe
chrome.exe
devenv.exe

10. A memória dumpokban hitelkártyaszámokat keres.

11. A megszerzett adatokat kiszivárogtatja.

Megoldás

Vírusirtó segítségével távolítsa el a fertőzést.