TSPY_DYRE.EKW trójai

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Microsoft Windows

Összefoglaló

A „TSPY_DYRE.EKW” trójai képes arra, hogy más káros kódokat töltsön le, és akár banki vagy bitcoin adatokat lopjon.

Egy távoli weboldalra küldi az információkat és innen fogad is utasításokat. Miután a feladatát végrehajtotta, törli magát.

Leírás

A következő komponenseket tölti le:

• TROJ_PIDIEF.LK
• TROJ_PIDIEF.UXL
• TROJ_PIDIEF.YYGA

Telepítés

Az alábbi helyekre másolja és utána futtatja magát:

• %Windows%{random fájl név}.exe (Windows XP-ben és az alatt)
• %AppDataLocal%{random fájl név}.exe (Vista-ban és afölött)

Az alábbi helyekre másol:

• %System%configsystemprofileApplication Data{random fájl név 2}.vas (Windows XP-ben és a későbbi verziók)
• %AppDataLocal%{random fájl név 3}.vas (Vista-ban és afölött)

A következő változót hozza létre, annak érdekében, hogy bármikor futhasson:

• Global1g2hk1hyj

Kódokat injektál az alábbi folyamatba:

• explorer.exe

Automatikus indulás

A kárós kód bejegyzi magát szolgáltatásként ezzel biztosítva, hogy minden rendszer indításnál automatikusan futhasson úgy hogy hozzáadja az alábbi regisztrációs bejegyzéseket:

• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesgoogleupdateImagePath = „%Windows%{random fájl név}.exe”
• KEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesgoogleupdateDisplayName = „Google Update Service”

Létrehozza az alábbi regisztrációs bejegyzést, hogy minden rendszer indításnál automatikusan futhasson:

• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun(Default) = „%AppDataLocal%{random fájl név}.exe ” (Vista-ban és afölött)

A kárós kód bejegyzi magát rendszer szolgáltatásként, ezzel biztosítva, hogy minden rendszer indításnál automatikusan futhasson úgy hogy hozzáadja az alábbi regisztrációs kulcsot:

• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesgoogleupdate(Windows XP-ben és afölött)

Információ lopás

A következő adatokat szerzi meg:

• Számítógép név
• Nyilvános IP címet
• Operációs rendszer verzióját
• Felhasználó név

Egyéb részletek

A következő URL címre próbál meg felcsatlakozni (a kapcsolat ellenőrzése céljából):

• google.com

A következő URL címre csatlakozik fel, hogy megismerje a fertőzött gép IP címét:

• http://icanhazip.com

Az alábbi IP címekhez csatlakozik, adatküldés és fogadás céljából:

• {BLOCKED}.{BLOCKED}.51.224:4443
• {BLOCKED}.{BLOCKED}.51.224:443
• {BLOCKED}.{BLOCKED}.46.50:4443
• {BLOCKED}.{BLOCKED}.122.128:4443
• {BLOCKED}.{BLOCKED}.121.205:4443
• {BLOCKED}.105.122.128:443
• {BLOCKED}.{BLOCKED}.98.111:4443
• {BLOCKED}.{BLOCKED}.121.205:443
• {BLOCKED}.{BLOCKED}.98.111:443
• {BLOCKED}.{BLOCKED}.35.188:443
• {BLOCKED}.{BLOCKED}.122.160:4443
• {BLOCKED}.{BLOCKED}.126.25:4443
• {BLOCKED}.{BLOCKED}.110.52:4443
• {BLOCKED}.{BLOCKED}.122.160:443
• {BLOCKED}.{BLOCKED}.126.25:443
• {BLOCKED}.{BLOCKED}.110.52:443
• {BLOCKED}.{BLOCKED}.122.160
• {BLOCKED}.{BLOCKED}.202.162:4443
• {BLOCKED}.{BLOCKED}.202.162:443
• {BLOCKED}.{BLOCKED}.227.37:443

Ezek után törli magát.

Megjegyzés: 

Monitorozza a következő böngészőket:

• Google Chrome
• Internet Explorer
• Mozilla Firefox

Ellopja a bank és bitcoinhoz kapcsolódó információkat úgy, hogy rosszindulatú kódokat injektál be a bank/bitcoin bejelentkező weboldalába:

• accounts.expresscoin.com/*
• accounts.expresscoin.com/login*
• aibinternetbanking.aib.ie/*
• aibinternetbanking.aib.ie/inet/roi/login.htm*
• alolb1.arbuthnotlatham.co.uk/*
• alolb1.arbuthnotlatham.co.uk/IB/Online*
• anxbtc.com/*
• bank.barclays.co.uk/*
• bank.barclays.co.uk/olb/auth/LoginLink.action*
• banking.ireland-bank.com/*
• banking.ireland-bank.com/IrelandBankOnline_303/Authentication/Login.aspx*
• banking.triodos.co.uk/*
• banking.triodos.co.uk/ib-seam/login.seam*
• bankofirelandlifeonline.ie/*
• bankofirelandlifeonline.ie/homepage.jhtml*
• bitbargain.co.uk/*
• bitbargain.co.uk/login*
• bitpay.com/*
• bitpay.com/merchant-login*
• blockchain.info/*
• blockchain.info/wallet/login*
• bolpp.bankofireland.com/*
• bolpp.bankofireland.com/Commercial/*
• btultra.btrl.ro/*
• btultra.btrl.ro/sign/_mcologon*
• bureau.bottomline.co.uk/*
• bureau.bottomline.co.uk/unity/index.aspx*
• business.co-operativebank.co.uk/*
• business.co-operativebank.co.uk/corp/BANKAWAY*
• business.santander.co.uk/*
• business.santander.co.uk/LGSBBI_NS_ENS/BtoChannelDriver.ssobto*
• business2.danskebank.co.uk/*
• business2.danskebank.co.uk/pub/logon/logon.aspx*
• business2.danskebank.ie/*
• business2.danskebank.ie/pub/logon/logon.aspx*
• businessonline.mutualofomahabank.com/*
• businessonline.mutualofomahabank.com/cb/pages/jsp-ns/login.jsp*
• butterfieldonline.co.uk*
• butterfieldonline.co.uk/*
• cbfm.saas.cashfac.com/*
• cbfm.saas.cashfac.com/cbfm/Logon.aspx*
• cbionline.cbi.ae/*
• cbionline.cbi.ae/bus/security/Welcome.do*
• charisma.btdirect.ro/*
• charisma.btdirect.ro/CharismaWEB/_Public/Login.aspx*
• corporate.adcb.com/*
• corporate.adcb.com/corporateWeb/login.do*
• corporate.metrobankonline.co.uk/*
• corporate.santander.co.uk/*
• corporate.santander.co.uk/LOGSCU_NS_ENS/BtoChannelDriver.bto*
• dashboard.gocoin.com/*
• dashboard.gocoin.com/login*
• e-access.compassbank.com/*
• e-access.compassbank.com/bbw/cmserver/welcome/default/verify.cfm*
• eadibcorp.adib.ae/*
• eadibcorp.adib.ae/cb/servlet/cb/jsp-ns/login.jsp*
• esavings.shawbrook.co.uk/*
• esavings.shawbrook.co.uk/BankFast/Shawbrook*
• fastbanking.bancpost.ro/*
• fastbanking.bancpost.ro/iBankWeb/login.jsp*
• fdonline.co-operativebank.co.uk/*
• fdonline.co-operativebank.co.uk/corp/BANKAWAY*
• fidelitytopeka.btbanking.com/*
• fidelitytopeka.btbanking.com/onlineserv/CM/*
• home1.ybonline.co.uk/*
• home1.ybonline.co.uk/raluV8/reglm-web/login.ctl*
• home2.cybusinessonline.co.uk/*
• home2.cybusinessonline.co.uk/lmgruV8/ceblm-web/login.ctl*
• ht.businessonlinepayroll.com/*
• ht.businessonlinepayroll.com/SPF/login/ee_auth.aspx*
• ib.btrl.ro/*
• ib.btrl.ro/BT24/bfo/channel/web/loginframe.jsp*
• ibank.gtbankuk.com/*
• ibank.gtbankuk.com/Gaps_UK/Default.aspx*
• ibank.reliancebankltd.com/*
• ibank.reliancebankltd.com/logon.aspx*
• ibank.zenith-bank.co.uk/*
• ibank.zenith-bank.co.uk/internetbanking/index.jsp*
• ibb.firsttrustbank1.co.uk/*
• ibb.firsttrustbank1.co.uk/ibb/controller*
• ibusinessbanking.aib.ie/*
• ibusinessbanking.aib.ie/ibb/controller*
• leumionline.bankleumi.co.uk/*
• leumionline.bankleumi.co.uk/my.policy*
• localbitcoins.com/*
• localbitcoins.com/accounts/login*
• login.24banking.ro/*
• login.24banking.ro/casserver/login*
• login.isso.db.com/*
• login.isso.db.com/websso/sso_multi_auth_Logon.sso*
• login.salesforce.com/*
• login.smartbusiness.ae/*
• login.smartbusiness.ae/bo-login.jsp*
• my.sjpbank.co.uk/*
• my.sjpbank.co.uk/Security/Auth/Logon*
• net.crediteurope.ro/*
• net.crediteurope.ro/ibank-cln/do/login/prompt*
• netbanking.mashreqbank.com/*
• netbanking.mashreqbank.com/B001/SMELogin.jsp*
• netbanking.ubluk.com/*
• netbanking.ubluk.com/Login/Index*
• northrimbankonline.btbanking.com/*
• northrimbankonline.btbanking.com/onlineserv/CM/*
• online.adambank.com/*
• online.adambank.com/eBankingAdamLogin/login*
• online.bankofcyprus.co.uk/*
• online.bankofcyprus.co.uk/netteller/login.faces*
• online.coutts.com/*
• online.coutts.com/eBankingCouttsLogin/login*
• online.dib.ae/*
• online.dib.ae/webapplication.ui/localoperations/login/loginpage.aspx*
• online.duncanlawrie.com/*
• online.duncanlawrie.com/InternetBanking/faces/mdi/login.jsp*
• online.ebs.ie/*
• online.ebs.ie/internet/login/index.jsp*
• online.hoaresbank.co.uk/*
• online.hoaresbank.co.uk/fi11512/bb/logon*
• online.kbc.ie/*
• online.kbc.ie/kbc-online/onlinebanking/login*
• online.ybs.co.uk/*
• online.ybs.co.uk/public/authentication/login1.do*
• onlinebusiness.lloydsbank.co.uk/*
• onlinebusiness.lloydsbank.co.uk/business/logon/login.jsp*
• personal.co-operativebank.co.uk/*
• personal.co-operativebank.co.uk/CBIBSWeb/start.do*
• retail.santander.co.uk/*
• retail.santander.co.uk/LOGSUK_NS_ENS/BtoChannelDriver.ssobto*
• ro.unicreditbanking.net/*
• ro.unicreditbanking.net/disp*
• s2b.standardchartered.com/*
• s2b.standardchartered.com/ssoapp/login.jsp*
• safello.com/*
• safello.com/login*
• santander.hpdsc.com/*
• santander.hpdsc.com/main*
• secure.coinjar.com/*
• secure.coinjar.com/users/sign_in*
• secure.handelsbanken.com/*
• secure.handelsbanken.com/bb/glss/servlet/prelogon*
• secure.internetbanking.ro/*
• secure.internetbanking.ro/IBK_SMS/Login/LoginFirstStep.aspx*
• secure.membersaccounts.com/*
• secure.membersaccounts.com/SELFSERVICE/login.aspx*
• secure2.alphabank.ro/*
• secure2.alphabank.ro/corporate/CorpOTPLoginLangRom.jsp*
• webcmpr.bancopopular.com/*
• webcmpr.bancopopular.com/K1*
• www.365online.com/*
• www.365online.com/online365/spring/authentication*
• www.arabi-online.net/*
• www.arabi-online.net/efs/servlet/efs/jsp-ns/login.jsp*
• www.asbolb.com/*
• www.asbolb.com/servlet/ASB.ASBServlet*
• www.barclayswealth.com/*
• www.barclayswealth.com/login/action/logon/unauthenticated/personal/loginDetailsRouting*
• www.bitstamp.net/*
• www.bitstamp.net/account/login*
• www.boi-bol.com/*
• www.boi-bol.com/newHome.jsp*
• www.brdoffice.ro/*
• www.brdoffice.ro/smartoffice/_mcologon*
• www.cardonebanking.com/*
• www.cardonebanking.com/authlogin.aspx*
• www.caterallenonline.co.uk*
• www.caterallenonline.co.uk/*
• www.ceconline.ro/*
• www.ceconline.ro/smartoffice/logon.htm*
• www.coinbase.com/*
• www.coinbase.com/signin*
• www.corporate-clients.commerzbank.com/*
• www.corporate-clients.commerzbank.com/S-Portal/SHTML/cdir2/companydirectportal/pgf.html*
• www.halifax-online.co.uk/*
• www.halifax-online.co.uk/personal/logon/login.jsp*
• www.ingonline.com/*
• www.ingonline.com/ro/!UPR.Dispatcher*
• www.internationalpayments.co.uk/*
• www.investbank.ae/*
• www.investbank.ae/ibank/loginAction.do*
• www.iombankibanking.com/*
• www.iombankibanking.com/eai/IPB_EAI_Web/eai*
• www.kbinternetbanking.com*
• www.kbinternetbanking.com/*
• www.natwestibanking.com/*
• www.natwestibanking.com/eai/IPB_EAI_Web/customerNumber.do*
• www.onlinebanking.iombank.com/*
• www.onlinebanking.iombank.com/default.aspx*
• www.onlinebanking.natwestoffshore.com/*
• www.onlinebanking.natwestoffshore.com/default.aspx*
• www.open24.ie/*
• www.open24.ie/online/login.aspx*
• www.raiffeisenonline.ro/*
• www.raiffeisenonline.ro/eBankingWeb/login*
• www.rbsidigital.com/*
• www.rbsidigital.com/default.aspx*
• www.rbsiibanking.com/*
• www.rbsiibanking.com/ipb/IPB_Client_Web/Start.do*
• www.suntrust.com/*
• www.suntrust.com/portal/server.pt*
• www.svbconnect.com/*
• www.svbconnect.com/auth*
• www1.firstdirect.com/*
• www1.firstdirect.com/1/2/!ut/p/c5/04_SB8K8xLLM9MSSzPy8xBz9CP0os3gDgzAfSycDUy8LAzNDbz8vbzMDKADKR5rFO7s7epiY-wD5YZ6uBp4mTiYGpr5uhgaexmDdFibeBn7enkEuBs4ejiYeHkGGMN0FuaGKAPRSfDc!*
• www1.rbcbankusa.com/*
• www1.rbcbankusa.com/cgi-bin/rbaccess/rbunxcgi*
• www22.bmo.com/*
• www22.bmo.com/ctpauth/CTPEAILogin/CustUserPasswordAuthServlet*

Felcsatlakozik a következő STUN (Session Traversal Utilities for NAT) szerverhez, hogy meghatározza az érintett gép nyilvános IP címét:

• stun1.voiceeclipse.net
• stun.callwithus.com
• stun.sipgate.net
• stun.ekiga.net
• stun.ideasip.com
• stun.internetcalls.com
• stun.noc.ams-ix.net
• stun.phonepower.com
• stun.voip.aebc.com
• stun.voipbuster.com
• stun.voxgratia.org
• stun.ipshka.com
• stun.faktortel.com.au
• stun.iptel.org
• stun.voipstunt.com
• stunserver.org
• 203.183.172.196:3478
• s1.taraba.net
• s2.taraba.net
• stun.l.google.com:19302
• stun1.l.google.com:19302
• stun2.l.google.com:19302
• stun3.l.google.com:19302
• stun4.l.google.com:19302
• stun.schlund.de
• stun.rixtelecom.se
• stun.voiparound.com
• numb.viagenie.ca
• stun.stunprotocol.org
• stun.2talk.co.nz

Megoldás

Távolítsa el a kártékony kódot vírusírtó segítségével.

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Gyártói referencia: www.trendmicro.com