Trojan.Mysayad

CH azonosító

CH-11460

Angol cím

Infostealer.Mysayad

Felfedezés dátuma

2014.07.24.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 98
Windows 95
Windows XP
Windows Server 2008
Windows 7
Windows Me
Windows Vista
Windows NT
Windows Server 2003
Windows 2000

Összefoglaló

A Mysayad trójai az összetett funkciókkal rendelkező kártékony programok közzé tartozik. A trójai számos alkalmazásból és adatforrásból képes kigyűjteni azokat az adatokat és információkat, amelyekre a terjesztőinek szüksége van. Elsősorban rendszerinformációkat gyűjt be, majd a nyitott hálózati portokat, területi beállításokat, folyamatok listáját, valamint a telepített szoftvereket menti le. 
A Mysayad trójai számos bizalmas adat begyűjtésére képes. A webböngészők által tárolt adatok iránt mutat fokozott érdeklődést (jelszavak, előzmények, cookie-k, felhasználónevek, stb.). A kártékony program jelenlegi variánsa kompatibilis a Firefox, Opera, és a Chrome böngészőkkel. A trójai ezen szoftverek mellet célba veszi az ismert szolgáltatásokhoz tartozó hitelesítő adatokat, valamint értékes adatokat próbál megszerezni a népszerű alkalmazásokból. A kártékony program a FileZilla, Putty, Winscp, Skype, és a GTalk által elmentett információkat kigyűjti, majd a kigyűjtött adatokat továbbítja egy távoli kiszolgálóra.

A Mysayad saját állományainak frissítésére képes, így folyamatosan változhat a kártékony program funkcionalitása.

Leírás

1.A következő állományokat hozza létre:
%UserProfile%Application DataClientDiagnosticsService.dll
%UserProfile%Application DataClientsqlite3.dll
%UserProfile%Application DataClient[véletlenszerű karakterek].dll
%UserProfile%Application DataClientbase.dll
%UserProfile%Application DataMicrosoftWindowsStorage[véletlenszerű karakterek].[véletlenszerű karakterek]
2.Az alábbi értékeket hozzáadja a regisztrációs adatbázishoz:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”DiagnosticsService” = “rundll32.exe %UserProfile%Application DataClientDiagnosticsService.dll”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[véletlenszerű karakterek]” = “rundll32.exe %UserProfile%Application DataClientDiagnosticsService.dll,[…]”
3.A billentyűleütéseket naplózza.
4.Lementi a Képernyőképeket.
5.A felhasználóneveket a területi beállításokat és a számítógép nevét kigyűjti.
6.A folyamatok és a telepített alkalmazások listáját, valamint a nyitott hálózati portokat lekérdezi.
7.Kiexportálja a felhasználói adatokat a Chrome, a Firefox és az Opera böngészőkből, a cookie-kat, a könyvjelzőket, az előzményeket és a proxy beállításokat.
8.Az alábbi alkalmazásokból hitelesítő adatokat gyűjt:
GTalk
Pidgin
Skype
Yahoo Messenger
Proxifier
FileZilla
Winscp
Putty
Remote Desktop
Kerio
9.Az alábbiak szerint az összegyűjtött adatokat lementi:
%UserProfile%Application DataMicrosoftWindowsStorage[véletlenszerű karakterek].[véletlenszerű karakterek]
10.Előre meghatározott szerverekre letölti az adatokat tartalmazó állományát.
11.A saját állományait rendszeresen időközönként frissíti.