Rovnix.YPOB kémprogram

CH azonosító

CH-12678

Angol cím

Rovnix.YPOB spyware

Felfedezés dátuma

2015.10.07.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Rovnix.YPOB kémprogram általában kétféle módon kerül fel a rendszerekre. Egyrészt kártékony weboldalakról töltődhet le, másrészt egyéb ártalmas programok közreműködésével fertőzhet. Bárhogy is történjen, a károkozó néhány rendszermódosítás után rögtön nekilát a legfontosabb feladatának, ami nem más, mint a fertőzött számítógép feltérképezése. Ennek során minden lényeges paramétert összegyűjt, és fokozott kíváncsiságot mutat a PC-n alkalmazott titkosítási eljárások iránt.

Leírás

A Rovnix.YPOB a webböngészők (különösen az Internet Explorer) esetében is képes meglepetéseket okozni. Elsősorban azáltal, hogy manipulálja a böngésző kezdő- és keresőoldalaira vonatkozó beállításokat. Emellett az Internet Explorer zónabeállításait sem hagyja érintetlenül. 

A Rovnix.YPOB rendelkezik olyan algoritmusokkal is, amelyek képesek eltávolítani a károkozót, például akkor, ha felmerül a gyanú, hogy egy olyan rendszerre került fel, amely az elemzését szolgálja.

Technikai részletek:

1. Létrehozza a következő állományokat:
“%Application Data%BackUp[azonosító].exe”
“%User Temp%NTFS.sys”
“%User Temp%tmp[véletlenszerű karakterek].tmp.exe”
“%System%BOOT.dat”

2. Létrehoz több mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.

3. Beregisztrál egy BS[azonosító] nevű szolgáltatást.

4. A regisztrációs adatbázishoz hozzáadja a következő értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunBackUp[azonosító] = “%Application Data%BackUp2326257383.exe”
HKEY_CURRENT_USERSoftwareSysinternalsCEulaAccepted = 1
HKEY_CURRENT_USERSoftwareMicrosoftInstallerProductsB2326257383LP = “%User temp%L2326257383”
HKEY_USERS.DEFAULTSoftwareSysinternalsCEulaAccepted = 1

5. A regisztrációs adatbázisban manipulálja az alábbi bejegyzéseket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunRSA[azonosító] = “%System%rundll32.exe “%Application Data%MicrosoftCryptoRSARSA[azonosító].dll”,DllInitialize
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunDisk Defragmenter = “%System%rundll32.exe “%Application Data%defragsvc.dll”,DllInitialize”

6. Leállítja az iexplore.exe folyamatot, amennyiben az létezik.

7. Manipulálja a webböngésző kezdő- és keresőoldalait.

8. Módosítja az Internet Explorer zónabeállításait.

9. Interneten keresztül letölt egy zip kiterjesztésű állományt, amit kétféle módon ment le:
“%Application Data%MicrosoftCryptoRSARSA[azonosító].dll”
“%Application Data%defragsvc.dll”

10. Betölti a memóriába a fenti két fájlt.

11. Rendszerinformációkat gyűjt össze, amiket a következő fájlokba ment le:
“%User Temp%L[azonosító]”
“%User Temp%tmp[véletlenszerű karakterek].tmp”

12. A fenti adatfájlokat feltölti egy távoli kiszolgálóra HTTP protokoll segítségével.

13. Leállítja a saját működését, ha a következő felhasználónevek valamelyikét észleli:
luser
perl
python
trace
dump

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket).
  • Frissítse az antivírus szoftverét.
  • Az eltávolításhoz szükséges információk a gyártói (TrendMicro) hivatkozásban találhatók.