Összefoglaló
A Rovnix.YPOB kémprogram általában kétféle módon kerül fel a rendszerekre. Egyrészt kártékony weboldalakról töltődhet le, másrészt egyéb ártalmas programok közreműködésével fertőzhet. Bárhogy is történjen, a károkozó néhány rendszermódosítás után rögtön nekilát a legfontosabb feladatának, ami nem más, mint a fertőzött számítógép feltérképezése. Ennek során minden lényeges paramétert összegyűjt, és fokozott kíváncsiságot mutat a PC-n alkalmazott titkosítási eljárások iránt.
Leírás
A Rovnix.YPOB a webböngészők (különösen az Internet Explorer) esetében is képes meglepetéseket okozni. Elsősorban azáltal, hogy manipulálja a böngésző kezdő- és keresőoldalaira vonatkozó beállításokat. Emellett az Internet Explorer zónabeállításait sem hagyja érintetlenül.
A Rovnix.YPOB rendelkezik olyan algoritmusokkal is, amelyek képesek eltávolítani a károkozót, például akkor, ha felmerül a gyanú, hogy egy olyan rendszerre került fel, amely az elemzését szolgálja.
Technikai részletek:
1. Létrehozza a következő állományokat:
“%Application Data%BackUp[azonosító].exe”
“%User Temp%NTFS.sys”
“%User Temp%tmp[véletlenszerű karakterek].tmp.exe”
“%System%BOOT.dat”
2. Létrehoz több mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.
3. Beregisztrál egy BS[azonosító] nevű szolgáltatást.
4. A regisztrációs adatbázishoz hozzáadja a következő értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunBackUp[azonosító] = “%Application Data%BackUp2326257383.exe”
HKEY_CURRENT_USERSoftwareSysinternalsCEulaAccepted = 1
HKEY_CURRENT_USERSoftwareMicrosoftInstallerProductsB2326257383LP = “%User temp%L2326257383”
HKEY_USERS.DEFAULTSoftwareSysinternalsCEulaAccepted = 1
5. A regisztrációs adatbázisban manipulálja az alábbi bejegyzéseket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunRSA[azonosító] = “%System%rundll32.exe “%Application Data%MicrosoftCryptoRSARSA[azonosító].dll”,DllInitialize
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunDisk Defragmenter = “%System%rundll32.exe “%Application Data%defragsvc.dll”,DllInitialize”
6. Leállítja az iexplore.exe folyamatot, amennyiben az létezik.
7. Manipulálja a webböngésző kezdő- és keresőoldalait.
8. Módosítja az Internet Explorer zónabeállításait.
9. Interneten keresztül letölt egy zip kiterjesztésű állományt, amit kétféle módon ment le:
“%Application Data%MicrosoftCryptoRSARSA[azonosító].dll”
“%Application Data%defragsvc.dll”
10. Betölti a memóriába a fenti két fájlt.
11. Rendszerinformációkat gyűjt össze, amiket a következő fájlokba ment le:
“%User Temp%L[azonosító]”
“%User Temp%tmp[véletlenszerű karakterek].tmp”
12. A fenti adatfájlokat feltölti egy távoli kiszolgálóra HTTP protokoll segítségével.
13. Leállítja a saját működését, ha a következő felhasználónevek valamelyikét észleli:
luser
perl
python
trace
dump
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket).
- Frissítse az antivírus szoftverét.
- Az eltávolításhoz szükséges információk a gyártói (TrendMicro) hivatkozásban találhatók.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Trójai
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.trendmicro.com
Egyéb referencia: isbk.hu
