Reedum.D

CH azonosító

CH-11601

Angol cím

Reedum.D

Felfedezés dátuma

2014.09.09.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A Reedum.D trójai legújabb variánsa a legfontosabb feladatát tekintve teljes mértékben követi az előző verzióit. A károkozó POS terminálokról próbál minél több adathoz hozzájutni, amelyek révén a csalók bank-, illetve hitelkártyákat klónozhatnak.

A trójai alapvetően négy parancs segítségével működtethető:

  • Install – a kártékony szolgáltatás telepítése,
  • Uninstall – a trójai szolgáltatásának eltávolítása,
  • Start – a trójai elindítása,
  • Stop – a trójai leállítása.

A Reedum.D a memória átvizsgálásával próbál értékes adatokhoz hozzájutni, amelyeket hálózati megosztásokra tölt fel. A kártékony program a feltűnés kerülése érdekében a rendszerfolyamatokhoz és az ismert alkalmazásokhoz (például webböngészőkhöz) tartozó memóriaterületekkel nem foglalkozik.

Leírás

1. Létrehozza a következő állományokat:

  • %System%McTrayErrorLogging.dll
  • %System%t.bat

2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:

  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MCFMISVC000Control*NewlyCreated*
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MCFMISVC000ControlActiveService
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MCFMISVC000Service
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MCFMISVC000Legacy
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MCFMISVC000ConfigFlags
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MCFMISVC000Class
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MCFMISVC000ClassGUID
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MCFMISVC000DeviceDesc
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MCFMISVCNextInstance
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcEnum
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcEnumCount
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcEnumNextInstance
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcSecuritySecurity
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcType
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcStart
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcErrorControl
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcImagePath
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcDisplayName
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcObjectName
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcFailureActions
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmcfmisvcDescription

3. Interneten keresztül parancsokat fogad.
4. Felderíti az összes folyamatot a Windows és néhány gyakori alkalmazás folyamatainak kivételével.
5. A folyamatokhoz tartozó memóriaterületeken fizetésekkel, kártyákkal kapcsolatos adatokat keres.
6. Az összegyűjtött adatokat lementi az alábbi állományba: 
%System%McTrayErrorLogging.dll

7. Lefuttat egy scriptet, amit a %System%t.bat fájl tartalmaz. Ezzel hálózati megosztásokra tölti fel az összegyűjtött adatokat.

Támadás típusa

Hijacking (Visszaélés)

Hatás

Unknown (Ismeretlen)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu