Tivmonk.B trójai

CH azonosító

CH-11379

Angol cím

Trojan:Win32/Tivmonk.B

Felfedezés dátuma

2014.07.01.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7
Windows 8

Érintett verziók

Windows 2000
Windows 7
Windows 8
Windows 95
Windows 98
Windows Me
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Összefoglaló

A Tivmonk.B trójai felderíti a felhasznló által megtekintett online tartalmakat és az információt a rosszindulatú támadóhoz küldi.

Leírás

A malware általában egy megszokott telepítési folyamattal kísérli meg a bejutást a rendszerbe. Az alábbi fájlnevek valamelyikét használja a káros szoftver:

  • Chrome_Setup.exe
  • Flash_Player_Pro_Setup.exe
  • Flash_Player_Pro_Update_Setup.exe
  • flash1-tr-60614.exe
  • Flash-3-Update5232014.exe
  • flashplayerpro-setup.exe
  • FreeFlash.exe
  • fupm-adk-v2.exe
  • iTunes-Setup.exe
  • Java_Updater_Setup.exe
  • java1-adk-52714.exe
  • Java-2-Update5232014.exe
  • JavaUpdateTR.exe

A telepításkor a szokásos eljárást használja.

A telepítés után a trójai tájékoztat a frissítés sikeres telepítéséről, miközben a rosszindulatú komponenst is telepítette a felhasználó számítógépére.

Az alábbi telepített fájlok (a korábban használt install fájltól függően) tartalmazhatják a káros kódot:

  • %ProgramFiles% Flash Component Managersrvhelper32.exe
  • %ProgramFiles% Flash Updatewinclient32.exe
  • %ProgramFiles% FlashLive! Updaterflsystem32.exe
  • %ProgramFiles% Java Updatejavaclient32.exe
  • %ProgramFiles% JavaLive! Managerjvsystem32.exe
  • %ProgramFiles% Premium Softwaresysterm32.exe
  • %ProgramFiles% Software Guardiancvsmon32.exe
  • %ProgramFiles% SystemShield Probcsmon32.exe
  • %ProgramFiles% VLC Media Player Installersystem32.exe

Az állanó futtatás érdekében az alábbi bejegyzéseket teszi a regisztrációs adatbázisba:

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun=“<value>”;“<path to malware>”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun= “Win32 CVS Monitor”;“C:Program FilesSoftware Guardiancvsmon32.exe”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun=“Windows Client Manager”;“C:Program FilesFlash Updatewinclient32.exe”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun=“Windows FUPM Service Manager”;“C:Program FilesPremium Softwaresysterm32.exe”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun=“Win32 BCS Monitor”;“C:Program FilesSystemShield Probcsmon32.exe”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun=“Windows System Monitor “;“C:Program FilesVLC Media Player Installersystem32.exe”

A fenti fájlok és regisztrációs bejegyzések megléte fertőzésre utalhat.

A Tivmonk.B hasonló bejegyzéseket készít:

  • HKEY_CURRENT_USERSoftwareAutoPopper 
  • HKEY_CURRENT_USERSoftwareUpdateFiles 
  • HKEY_CURRENT_USERSoftwareUpdateSoft 

A káros kód folyamatosan fut a memóriában és nyomon követi a következő böngészőket:

  • Chrome
  • Firefox
  • IE
  • Netscape

A káros kód összegyűjti az összes betöltött URL-t, és HTTP-n kereszül elküldi a készítőnek az alábbi elérhetőségek egyikén:

  • a.turboclk.com/a.php?key=<key>&url=<url>
  • a.turboclk.com/ac.php?key=<key>&comp=true&k=<url>

A trójai a távoli szerverről egyéb fájlokat is letölthet és futtathat.

Megoldás

Használjon vírusírtót és tűzfalat, és rendszeresen frissítse azokat.