CH azonosító
CH-11379Angol cím
Trojan:Win32/Tivmonk.BFelfedezés dátuma
2014.07.01.Súlyosság
AlacsonyÖsszefoglaló
A Tivmonk.B trójai felderíti a felhasznló által megtekintett online tartalmakat és az információt a rosszindulatú támadóhoz küldi.
Leírás
A malware általában egy megszokott telepítési folyamattal kísérli meg a bejutást a rendszerbe. Az alábbi fájlnevek valamelyikét használja a káros szoftver:
- Chrome_Setup.exe
- Flash_Player_Pro_Setup.exe
- Flash_Player_Pro_Update_Setup.exe
- flash1-tr-60614.exe
- Flash-3-Update5232014.exe
- flashplayerpro-setup.exe
- FreeFlash.exe
- fupm-adk-v2.exe
- iTunes-Setup.exe
- Java_Updater_Setup.exe
- java1-adk-52714.exe
- Java-2-Update5232014.exe
- JavaUpdateTR.exe
A telepításkor a szokásos eljárást használja.
A telepítés után a trójai tájékoztat a frissítés sikeres telepítéséről, miközben a rosszindulatú komponenst is telepítette a felhasználó számítógépére.
Az alábbi telepített fájlok (a korábban használt install fájltól függően) tartalmazhatják a káros kódot:
- %ProgramFiles% Flash Component Managersrvhelper32.exe
- %ProgramFiles% Flash Updatewinclient32.exe
- %ProgramFiles% FlashLive! Updaterflsystem32.exe
- %ProgramFiles% Java Updatejavaclient32.exe
- %ProgramFiles% JavaLive! Managerjvsystem32.exe
- %ProgramFiles% Premium Softwaresysterm32.exe
- %ProgramFiles% Software Guardiancvsmon32.exe
- %ProgramFiles% SystemShield Probcsmon32.exe
- %ProgramFiles% VLC Media Player Installersystem32.exe
Az állanó futtatás érdekében az alábbi bejegyzéseket teszi a regisztrációs adatbázisba:
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun=“<value>”;“<path to malware>”
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun= “Win32 CVS Monitor”;“C:Program FilesSoftware Guardiancvsmon32.exe”
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun=“Windows Client Manager”;“C:Program FilesFlash Updatewinclient32.exe”
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun=“Windows FUPM Service Manager”;“C:Program FilesPremium Softwaresysterm32.exe”
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun=“Win32 BCS Monitor”;“C:Program FilesSystemShield Probcsmon32.exe”
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun=“Windows System Monitor “;“C:Program FilesVLC Media Player Installersystem32.exe”
A fenti fájlok és regisztrációs bejegyzések megléte fertőzésre utalhat.
A Tivmonk.B hasonló bejegyzéseket készít:
- HKEY_CURRENT_USERSoftwareAutoPopper
- HKEY_CURRENT_USERSoftwareUpdateFiles
- HKEY_CURRENT_USERSoftwareUpdateSoft
A káros kód folyamatosan fut a memóriában és nyomon követi a következő böngészőket:
- Chrome
- Firefox
- IE
- Netscape
A káros kód összegyűjti az összes betöltött URL-t, és HTTP-n kereszül elküldi a készítőnek az alábbi elérhetőségek egyikén:
- a.turboclk.com/a.php?key=<key>&url=<url>
- a.turboclk.com/ac.php?key=<key>&comp=true&k=<url>
A trójai a távoli szerverről egyéb fájlokat is letölthet és futtathat.
Megoldás
Használjon vírusírtót és tűzfalat, és rendszeresen frissítse azokat.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.microsoft.com
