Trojan:Win32/Miancha

CH azonosító

CH-10506

Angol cím

Trojan:Win32/Miancha

Felfedezés dátuma

2014.02.04.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Miancha trójai azon állományok segítségével hajtja végre a tevékenységeit, amelyek a fertőzés során a Windows Temp könyvtárába kerülnek be. Ez egy kétlépcsős károkozási folyamat.
Az első lépésben a távoli kiszolgálóhoz csatlakozik, arra adatokat tölt fel és parancsokat fogad. A hálózati beállításokra és az operációs rendszerre vonatkozó információkra kíváncsi.
A második lépésben további fájlokat szerez be, amelyek titkosítva kerülnek a számítógépre. A dekódolást követően számos ActiveX-vezérlő jelenik meg a Windows Temp könyvtárban.

A Miancha trójai olyan műveleteket hajt végre, ami nem kelt feltűnést. A Temp könyvtárba kerülő .ocx kiterjesztésű fájl utalhat a fertőzésre.

 

Leírás

1. A következő állományokat hozza létre:
%Windir%.ini
%Windir%Tempinstall.ocx
%Windir%Tempinstructions.pdf
%Windir%Tempinstructions64.pdf

2. Az alábbi értékeket hozzáadja a regisztrációs adatbázishoz:
HKUSERS.defaultSoftwareClassesCLSID{B12AE898-D056-4378-A844-6D393FE37956}InProcServer32@ = expand:”C:WINDOWStempinstall.ocx”
HKUSERS.defaultSoftwareClassesCLSID{B12AE898-D056-4378-A844-6D393FE37956}InProcServer32″ThreadingModel” = “Apartment”

3. Csatlakozik egy távoli kiszolgálóhoz a 443-es TCP-porton keresztül.

4. A rendszerinformációkat összegyűjti majd kiszivárogtatja:
– a számítógép neve
– IP-cím
– a processzor típusa
– az operációs rendszer verziója.

5. Titkosított fájlokat tölt le az interneten keresztül:

6. A titkosított állományokat dekódolja, majd a következők szerint menti le:
%Windir%Temppamtrop.ocx
%Windir%Tempoiduas.ocx
%Windir%Tempoedivs.ocx
%Windir%Tempsecivress.ocx
%Windir%Temptidegers.ocx
%Windir%Tempssecorps.ocx
%Windir%Tempdraobyeks.ocx
%Windir%Templlehss.ocx
%Windir%Tempelifs.ocx
%Windir%Tempneercss.ocx

Megoldás

Vírusírtó naprakész használata.