Trojan.Tinba.B


2014. szeptember 25. 06:54

CH azonosító

CH-11650

Angol cím

Trojan.Tinba.B

Felfedezés dátuma

2014.09.22.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 98, Windows 95, Windows XP, Windows Server 2008, Windows 7, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

Összefoglaló

A Tinba.B trójai állományokat képes letölteni, valamint információt tulajdonít el a fertőzött számítógépről.

Leírás

Mikor a trójai aktiválódik bemásolja magát az alábbi helyre: 

  • %UserProfile%Application Data[HEXADECIMAL VALUE]bin.exe

Létrehozza a következő regisztrációs bejegyzést, hogy a Windows indulásánál betöltődhessen:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[HEXADECIMAL VALUE]” = “%UserProfile%Application Data[HEXADECIMAL VALUE]bin.exe”

A következőkben a trójai módosítja az alábbi regisztrációs bejegyzést:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3″1609″ = “0”

Letölti a konfigurációs fájlt az alábbi helyekre:

  • %UserProfile%Application Data[HEXADECIMAL VALUE]cfg.dat
  • %UserProfile%Application Data[HEXADECIMAL VALUE]web.dat

 Beinjektálja magát az alábbi folyamatokba:

  • winver.exe
  • explorer.exe

A trójai összekapcsolódik az alábbi API-kal:

  • NtCreateUserProcess
  • NtCreateProcessEx
  • NtCreateThread
  • NtResumeThread
  • NtEnumerateValueKey
  • NtQueryDirectoryFile

A trójai kódot juttat a futó folyamatokba. Mikor ez a folyamat egy böngészőt érint, összekapcsolódik meghatározott API-kal, hogy figyelje a hálózati aktivitást és naplózza az információkat a tartományokról egy konfigurációs fájlba.

A trójai összekapcsolódik az alábbi API-kel az Internet Explorernél:

  • HttpSendRequestA
  • HttpSendRequestW
  • InternetCloseHandle
  • InternetReadFileExA
  • InternetReadFile
  • InternetQueryDataAvailable
  • HttpQueryInfoA

Más böngészőknél a trójai alábbi API-kal kacsolódik össze:

  • PR_Close
  • PR_Write
  • PR_Read

A trójai ellopja a kapott információkat az alábbi helyekről:

  • %UserProfile%Application Data[HEXADECIMAL VALUE]log.dat
  • %UserProfile%Application Data[HEXADECIMAL VALUE]ntf.dat

Elküldi a szerzett információkat a konfigurációs fájlban meghatározott vezérlőszerverhez.

A fájl az alábbi szervereket tárolja:

  • newstatinru.ru
  • justforyou0987.pw
  • phpsitegooddecoder.com

Ha a konfigurációs fájlban meghatározott kiszolgálók nem elérhetők, a trójai tartomány generátort (DGA) használ, így akár 1000 kiszolgálót is megpróbálhat elérni. Mikor sikerrel jár, akkor kapcsolódik hozzá.

A trójai letölti és futtatja az alábbi állományokat:

  • %UserProfile%Application Data[HEXADECIMAL VALUE].exe

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

http://www.symantec.com/security_response/writeup.jsp?docid=2014-092411-3132-99&tabid=2

Legfrissebb sérülékenységek
CVE-2024-41713 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2024-55550 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2021-44207 – Acclaim Systems USAHERDS Use of Hard-Coded Credentials sérülékenysége
CVE-2024-12356 – BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) Command Injection sérülékenysége
CVE-2022-23227 – NUUO NVRmini2 Devices Missing Authentication sérülékenysége
CVE-2024-51818 – Fancy Product Designer SQL injection sérülékenysége
CVE-2024-51919 – Fancy Product Designer ellenőrizetlen fájlfeltöltési sérülékenysége
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
Tovább a sérülékenységekhez »