Trojan.Tinba.B


2014. szeptember 25. 06:54

CH azonosító

CH-11650

Angol cím

Trojan.Tinba.B

Felfedezés dátuma

2014.09.22.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 98, Windows 95, Windows XP, Windows Server 2008, Windows 7, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

Összefoglaló

A Tinba.B trójai állományokat képes letölteni, valamint információt tulajdonít el a fertőzött számítógépről.

Leírás

Mikor a trójai aktiválódik bemásolja magát az alábbi helyre: 

  • %UserProfile%Application Data[HEXADECIMAL VALUE]bin.exe

Létrehozza a következő regisztrációs bejegyzést, hogy a Windows indulásánál betöltődhessen:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[HEXADECIMAL VALUE]” = “%UserProfile%Application Data[HEXADECIMAL VALUE]bin.exe”

A következőkben a trójai módosítja az alábbi regisztrációs bejegyzést:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3″1609″ = “0”

Letölti a konfigurációs fájlt az alábbi helyekre:

  • %UserProfile%Application Data[HEXADECIMAL VALUE]cfg.dat
  • %UserProfile%Application Data[HEXADECIMAL VALUE]web.dat

 Beinjektálja magát az alábbi folyamatokba:

  • winver.exe
  • explorer.exe

A trójai összekapcsolódik az alábbi API-kal:

  • NtCreateUserProcess
  • NtCreateProcessEx
  • NtCreateThread
  • NtResumeThread
  • NtEnumerateValueKey
  • NtQueryDirectoryFile

A trójai kódot juttat a futó folyamatokba. Mikor ez a folyamat egy böngészőt érint, összekapcsolódik meghatározott API-kal, hogy figyelje a hálózati aktivitást és naplózza az információkat a tartományokról egy konfigurációs fájlba.

A trójai összekapcsolódik az alábbi API-kel az Internet Explorernél:

  • HttpSendRequestA
  • HttpSendRequestW
  • InternetCloseHandle
  • InternetReadFileExA
  • InternetReadFile
  • InternetQueryDataAvailable
  • HttpQueryInfoA

Más böngészőknél a trójai alábbi API-kal kacsolódik össze:

  • PR_Close
  • PR_Write
  • PR_Read

A trójai ellopja a kapott információkat az alábbi helyekről:

  • %UserProfile%Application Data[HEXADECIMAL VALUE]log.dat
  • %UserProfile%Application Data[HEXADECIMAL VALUE]ntf.dat

Elküldi a szerzett információkat a konfigurációs fájlban meghatározott vezérlőszerverhez.

A fájl az alábbi szervereket tárolja:

  • newstatinru.ru
  • justforyou0987.pw
  • phpsitegooddecoder.com

Ha a konfigurációs fájlban meghatározott kiszolgálók nem elérhetők, a trójai tartomány generátort (DGA) használ, így akár 1000 kiszolgálót is megpróbálhat elérni. Mikor sikerrel jár, akkor kapcsolódik hozzá.

A trójai letölti és futtatja az alábbi állományokat:

  • %UserProfile%Application Data[HEXADECIMAL VALUE].exe

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

http://www.symantec.com/security_response/writeup.jsp?docid=2014-092411-3132-99&tabid=2

Legfrissebb sérülékenységek
CVE-2025-40602 – SonicWall SMA1000 Missing Authorization sérülékenysége
CVE-2025-59374 – ASUS Live Update Embedded Malicious Code sérülékenysége
CVE-2025-20393 – Cisco Multiple Products Improper Input Validation sérülékenysége
CVE-2025-58360 – OSGeo GeoServer Improper Restriction of XML External Entity Reference sérülékenysége
CVE-2018-4063 – Sierra Wireless AirLink ALEOS Unrestricted Upload of File with Dangerous Type sérülékenysége
CVE-2025-14174 – Google Chromium Out of Bounds Memory Access sérülékenysége
CVE-2025-14611 – Gladinet CentreStack and Triofox Hard Coded Cryptographic sérülékenysége
CVE-2025-43529 – Apple Multiple Products Use-After-Free WebKit sérülékenysége
CVE-2025-21621 – GeoServer Reflected Cross-Site Scripting (XSS) sérülékenység
CVE-2025-64471 – Fortinet FortiWeb sérülékenysége
Tovább a sérülékenységekhez »