ProxyBack/Htbot kártevő család

CH azonosító

CH-13594

Angol cím

ProxyBack/Htbot malware family

Felfedezés dátuma

2016.10.03.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A ProxyBack nevű Windows operációs rendszereket támadó kártevő család vált ismertté, melynek eddig több mint 20 variánsát fedezték fel. A kártevő rosszindulatú távoli felhasználók számára hozzáférést biztosíthat a fertőzött rendszerhez, amely felett képes lehet átvenni az irányítást és azt proxy szerverként használni. Utóbbi kihasználásával a támadók képesek lehetnek lehallgatni az arra irányuló forgalmat.

Leírás

A káros szoftver segítségével a támadó az alábbi műveleteket hajthatja végre a fertőzött munkaállomáson:

  • Fájlok törlése/le- és feltöltése/futtatása.
  • Billentyűleütések logolása.
  • Hozzáférés érzékeny adatokhoz.
  • Rendszerbeállítások módosítása.
  • Alkalmazások futtatása/abortálása.
  • A gép botnet-hálózat részeként, 
  • és proxyszerverként való alkalmazása. (A felfedező Palo Alto szerint a buyproxy.ru proxy szervereket hirdető site-on ilyen, a ProxyBack által létrehozott ál proxy szerverek is találhatók.)

Az alábbi fájlokat hozhatja létre a fertőzött gépen: 

%LOCALAPPDATA%[random alphanumeric characters][concatenation of two existing executable files].exe
%LOCALAPPDATA%[random alphanumeric characters][concatenation of two existing executable files].exe
%UserProfile%Application Data[FOUR UPPERCASE LETTERS][EXISTING .EXE FILE NAME][VARIABLE ONE].exe
%UserProfile%Application Data[FOUR UPPERCASE LETTERS]nt[EXISTING .EXE FILE NAME].exe

A regisztrációs bejegyzéseken az alábbi változtatásokat hajthatja végre, amelyek eredményeképpen képes lehet minden rendszerbetöltéskor lefutni:

Kulcs: HKLMsoftwaremicrosoftwindowscurrentversionrun
Érték: “Cryptographic Services Control”
Adat: “%LOCALAPPDATA%[random alphanumeric characters][concatenation of two existing executable files].exe” (pl.: “%LOCALAPPDATA%zyxwinvmicsvc.exe”)

Megkísérelhet kivételt adni a tűzfalhoz:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParameters
FirewallPolicyStandardProfileAuthorizedApplicationsList”%UserProfile%Application Data[FOUR UPPERCASE LETTERS][EXISTING .EXE FILE NAME][VARIABLE ONE].exe” = “%UserProfile%Application Data[FOUR UPPERCASE LETTERS][EXISTING .EXE FILE NAME]
[VARIABLE ONE].exe:*:Enabled:Windows DCOM Server Process Launcher”
HKLMsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicy

 Az alábbi kiszolgálók felé kísérel meg kommunikációt a 80-as porton:

  • solocoufandle.com
  • papausafr.com
  • bugertwist.com
  • creativanalyticks.com
  • czonainsit4e.com
  • depasistat.com
  • drythisworld.com
  • hclickmeterg.com
  • heljeanvos.com
  • iholpforyou4.com
  • lancer-moto.com
  • markovqwesta.com
  • masyaget.com
  • mintoolses.com
  • nsit4esite.com
  • pllsest2.com
  • qforumjail.com
  • robjertovines.com
  • singlearthousse.com
  • skyjfasters.com
  • sweedfolz.com
  • texasgodchang.com
  • truedonell.com
  • uarushelp.com
  • xclotusm.com

Megoldás

  • Tartsa naprakészen az operációs rendszert!
  • Használjon naprakész vírusírtó szofvert!
  • Az eltávolításban segítséget nyújthat:

Windows Defender (Windows 10, Windows 8.1)
Microsoft Security Essentials (Windows 7 and Windows Vista)
Microsoft Safety Scanner
Run Norton Power Eraser (NPE)