Trojan.Tinba.B

CH azonosító

CH-11650

Angol cím

Trojan.Tinba.B

Felfedezés dátuma

2014.09.22.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 98, Windows 95, Windows XP, Windows Server 2008, Windows 7, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

Összefoglaló

A Tinba.B trójai állományokat képes letölteni, valamint információt tulajdonít el a fertőzött számítógépről.

Leírás

Mikor a trójai aktiválódik bemásolja magát az alábbi helyre: 

  • %UserProfile%Application Data[HEXADECIMAL VALUE]bin.exe

Létrehozza a következő regisztrációs bejegyzést, hogy a Windows indulásánál betöltődhessen:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[HEXADECIMAL VALUE]” = “%UserProfile%Application Data[HEXADECIMAL VALUE]bin.exe”

A következőkben a trójai módosítja az alábbi regisztrációs bejegyzést:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3″1609″ = “0”

Letölti a konfigurációs fájlt az alábbi helyekre:

  • %UserProfile%Application Data[HEXADECIMAL VALUE]cfg.dat
  • %UserProfile%Application Data[HEXADECIMAL VALUE]web.dat

 Beinjektálja magát az alábbi folyamatokba:

  • winver.exe
  • explorer.exe

A trójai összekapcsolódik az alábbi API-kal:

  • NtCreateUserProcess
  • NtCreateProcessEx
  • NtCreateThread
  • NtResumeThread
  • NtEnumerateValueKey
  • NtQueryDirectoryFile

A trójai kódot juttat a futó folyamatokba. Mikor ez a folyamat egy böngészőt érint, összekapcsolódik meghatározott API-kal, hogy figyelje a hálózati aktivitást és naplózza az információkat a tartományokról egy konfigurációs fájlba.

A trójai összekapcsolódik az alábbi API-kel az Internet Explorernél:

  • HttpSendRequestA
  • HttpSendRequestW
  • InternetCloseHandle
  • InternetReadFileExA
  • InternetReadFile
  • InternetQueryDataAvailable
  • HttpQueryInfoA

Más böngészőknél a trójai alábbi API-kal kacsolódik össze:

  • PR_Close
  • PR_Write
  • PR_Read

A trójai ellopja a kapott információkat az alábbi helyekről:

  • %UserProfile%Application Data[HEXADECIMAL VALUE]log.dat
  • %UserProfile%Application Data[HEXADECIMAL VALUE]ntf.dat

Elküldi a szerzett információkat a konfigurációs fájlban meghatározott vezérlőszerverhez.

A fájl az alábbi szervereket tárolja:

  • newstatinru.ru
  • justforyou0987.pw
  • phpsitegooddecoder.com

Ha a konfigurációs fájlban meghatározott kiszolgálók nem elérhetők, a trójai tartomány generátort (DGA) használ, így akár 1000 kiszolgálót is megpróbálhat elérni. Mikor sikerrel jár, akkor kapcsolódik hozzá.

A trójai letölti és futtatja az alábbi állományokat:

  • %UserProfile%Application Data[HEXADECIMAL VALUE].exe

Hivatkozások

http://www.symantec.com/security_response/writeup.jsp?docid=2014-092411-3132-99&tabid=2