Összefoglaló
A Reedum.D trójai legújabb variánsa a legfontosabb feladatát tekintve teljes mértékben követi az előző verzióit. A károkozó POS terminálokról próbál minél több adathoz hozzájutni, amelyek révén a csalók bank-, illetve hitelkártyákat klónozhatnak.
A trójai alapvetően négy parancs segítségével működtethető:
- Install – a kártékony szolgáltatás telepítése,
- Uninstall – a trójai szolgáltatásának eltávolítása,
- Start – a trójai elindítása,
- Stop – a trójai leállítása.
A Reedum.D a memória átvizsgálásával próbál értékes adatokhoz hozzájutni, amelyeket hálózati megosztásokra tölt fel. A kártékony program a feltűnés kerülése érdekében a rendszerfolyamatokhoz és az ismert alkalmazásokhoz (például webböngészőkhöz) tartozó memóriaterületekkel nem foglalkozik.
Leírás
1. Létrehozza a következő állományokat:
- %System%McTrayErrorLogging.dll
- %System%t.bat
2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MCFMISVC�000Control*NewlyCreated*
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MCFMISVC�000ControlActiveService
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MCFMISVC�000Service
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MCFMISVC�000Legacy
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MCFMISVC�000ConfigFlags
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MCFMISVC�000Class
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MCFMISVC�000ClassGUID
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MCFMISVC�000DeviceDesc
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MCFMISVCNextInstance
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcEnum�
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcEnumCount
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcEnumNextInstance
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcSecuritySecurity
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcType
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcStart
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcErrorControl
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcImagePath
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcDisplayName
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcObjectName
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcFailureActions
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcDescription
3. Interneten keresztül parancsokat fogad.
4. Felderíti az összes folyamatot a Windows és néhány gyakori alkalmazás folyamatainak kivételével.
5. A folyamatokhoz tartozó memóriaterületeken fizetésekkel, kártyákkal kapcsolatos adatokat keres.
6. Az összegyűjtött adatokat lementi az alábbi állományba:
%System%McTrayErrorLogging.dll
7. Lefuttat egy scriptet, amit a %System%t.bat fájl tartalmaz. Ezzel hálózati megosztásokra tölti fel az összegyűjtött adatokat.
Támadás típusa
Hijacking (Visszaélés)Hatás
Unknown (Ismeretlen)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu