Win32/Prikormka kártevő család

CH azonosító

CH-13250

Angol cím

Win32/Prikormka malware family

Felfedezés dátuma

2016.05.18.

Súlyosság

Alacsony

Érintett rendszerek

Windows

Érintett verziók

Microsoft Windows 2000, Windows 7, Windows 95, Windows 98, Windows NT, Windows Vista, Windows XP

Összefoglaló

A Win32/Prikormka feltehetőleg ukrán eredetű malware család, amely 2014 óta fertőz. Célpontjai jellemzően ukrán magánszemélyek, de 2016 márciusában magyar nyelvű fertőzött fájlokat is találtak.

Leírás

A kártevő e-mailek fertőzött csatolmányaként terjed, ami jellemzően egy dokumentumnak álcázott .SCR vagy .EXE kiterjesztésű, futtatható állomány, tömörítve. Futtatáskor egyrészt fertőzi a gépet, ezzel párhuzamosan egy csaló dokumentumot is megjelenít (figyelemelterelés gyanánt), valamint nyit egy orosz nyelvű WinRAR párbeszédablakot. (A magyar szövegű kampányban nem volt ilyen.) Előfordulhat, hogy nem csatolmány, hanem csupán egy hivatkozás szerepel az e-mailben, ami egy káros webhelyre mutat.

Tevékenységét tekintve információt gyűjt a fertőzött gépről és továbbítja azokat a megadott C&C szerverek felé. A sikeres fertőzéshez a kártevőnek admin jogosultságra van szüksége. Ha a támadott felhasználó nem ilyen jogosultsággal van bejelentkezve, a program bekéri az admin jelszót. Ezt követően további modulokat tölt le és hozzálát az adatgyűjtéshez.

Figyeli a billentyűleütéseket, rögzítheti a Skype hívásokat, időközönként képernyőmentést végez, Wifi adatokat és a számítógép műszaki paramétereit is gyűjti, továbbá az alábbi programokban tárolt jeszavakat igyekszik megszerezni:

  • Google Chrome
  • Opera Browser
  • Yandex Browser
  • Comodo Dragon Internet Browser
  • Rambler Browser (Nichrome)
  • Mozilla Firefox
  • Mozilla Thunderbird  

Az alábbi fájlok jelezhetnek fertőzést:

  • %PROGRAMFILES%IntelRestore
  • %USERPROFILE%Resentroamingocp8.1
  • %USERPROFILE%AppDataLocalMMC
  • %USERPROFILE%AppDataLocalPMG
  • %USERPROFILE%AppDataLocalSKC
  • %USERPROFILE%AppDataLocalCMS
  • %USERPROFILE%AppDataLocalVRT
  • %USERPROFILE%AppDataLocalioctl
  • %WINDIR%ntshrui.dll
  • %WINDIR%hauthuid.dll
  • %WINDIR%hlpuctf.dll
  • %WINDIR%atiml.dll
  • %WINDIR%iomus.dll
  • %WINDIR%swma.dll
  • %WINDIR%helpldr.dll
  • %WINDIR%rbcon.ini
  • %USERPROFILE%AppDataLocalCMSkrman.ini
  • %USERPROFILE%AppDataLocalVRT _ wputproc.dll

Hálózati tevékenysége során az alábbi irányokba (C&C szerverek) kísérel meg kommunikációt:

  • bolepaund.com 
  • celebrat.net 
  • disk-fulldatabase.rhcloud.com 
  • easerver-fulldatabase.rhcloud.com
  • gils.ho.ua 
  • lefting.org 
  • literat.ho.ua 
  • server-eacloud.rhcloud.com 
  • wallejob.in.ua 
  • wallex.ho.ua 
  • 91.228.146.12
  • 91.228.146.11
  • 91.228.146.11
  • 91.228.146.13
  • 91.228.146.12
  • 91.228.146.13
  • 185.68.16.35
  • 54.152.171.48
  • 54.175.208.187
  • 23.22.38.222
  • 54.163.210.39
  • 52.23.164.7
  • 23.22.221.237

Megoldás

  • Az ESET Nod32 vírusírtója felismeri a kártevőt.
  • Ne nyisson meg gyanús csatolmányú leveleket.
  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket).
  • Használjon offline biztonsági mentést, és naprakész antivirus alkalmazást.