Összefoglaló
Az Asterope trójai internetes reklámok visszaéléseiből próbál hasznot húzni. A kártékony program a számítógépeken manipulációkat hajt végre, ezáltal a kattintás alapú csalásokat könnyíti meg. A trójai módosítja a regisztrációs adatbázist úgy, hogy értékeket változtat meg és hoz létre az Internet Explorer kárára. Az Asterope trójai egy konfigurációs fájl segítségével távolról vezérelhető. A kártékony program – amikor letölti a komponenseit- olyan információkhoz jut hozzá, amivel kezdeményezhet átirányításokat, valamint manipulálni tudja az URL-eket. A számítógépekre szükség esetén Flash Playert is telepíthet.
Leírás
1.A következő állományokat hozza létre:
%Temp%tmp[véletlenszerű karakterek].exe
%UserProfile%Application DataMicrosoftWindows[véletlenszerű karakterek].exe
%AllUsersProfile%Start MenuProgramsStartup[véletlenszerű karakterek].lnk
%UserProfile%Start MenuProgramsStartup[véletlenszerű karakterek].lnk
2.Az alábbi értékeket hozzáadja a regisztrációs adatbázishoz:
%HKEY_CURRENT_USER%SoftwareMicrosoftWindowsCurrentVersionExplorerVisualEffectsTooltipShadow”DefaultValue” = “0”
%HKEY_CURRENT_USER%SoftwareMicrosoftWindowsCurrentVersionExplorerVisualEffectsTooltipShadow”DefaultApplied” = “65”
%HKEY_CURRENT_USER%SoftwareMicrosoftWindowsCurrentVersionExplorerVisualEffectsTooltipShadow”random value” = “[…]”
3.A regisztrációs adatbázis következő kulcsaiban szereplő értékeket manipulálja:
HKEY_CURRENT_USERControl PanelDesktop
HKEY_CURRENT_USERSoftwareMicrosoftCommand Processor
HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Internet SettingsZones
4.Az alábbi értékeket hozzáfűzi a regisztrációs adatbázishoz:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
PoliciesExplorer”Run” = “%UserProfile%Application DataMicrosoftWindows[véletlenszerű karakterek].exe”””
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
“[RANDOM FILE NAME]” = “%UserProfile%Application DataMicrosoftWindows[véletlenszerű karakterek].exe”””
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
RunOnce”[RANDOM FILE NAME]” = “%UserProfile%Application DataMicrosoftWindows[véletlenszerű karakterek].exe”””
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet Explorer”GlobalUserOffline” = “0”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain”NoProtectedModeBanner” = “1”
5.Egy konfigurációs állományt tölt le az interneten keresztül, amely alapján további műveleteket hajt végre.
6.Néhány mutexet hoz létre.
Támadás típusa
Manipulation of dataHatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com