Win32/Rongvhin trójai vírus

CH azonosító

CH-9918

Angol cím

Win32/Rongvhin trojan

Felfedezés dátuma

2013.10.07.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows Operációs rendszerek

Összefoglaló

A Win32/Rongvhin egy olyan malvercsaládból származik, amely kattintás alapú csalást végez.

A PC-t alkalmazásokon keresztül fertőzheti meg a CrossFire játék használatával.

Leírás

Kártevő viselkedése:

A Win32/Rongvhin egy olyan malware családból származik, amely kattintás alapú csalást végez.

A PC-t alkalmazásokon keresztül fertőzheti meg a CrossFire játék használatával.

Installálás:

A Rongvhin tartalmaz egy dropper komponenst (például a TrojanDropper:Win32/Rongvhin.A), amely a Crossfire játék hack alkalmazásaiként érkezhet a számítógépre. A fájl neve rendszerint xtrap.xt.

A dropper komponensei letöltik a fő kattintás alapú csaló komponenst. Ez a következő fájlnevek bármelyike lehet:

  • %windir%adsminirun.exe
  • %windir%adsminirun2.exe
  • %windir%ads.exe
  • %windir%ads1.exe
  • %windir%ads2.exe
  • %windir%ads3.exe
  • %windir%click.exe
  • %windir%clickads.exe
  • %windir%miniads.exe
  • %windir%miniads1.exe
  • %windir%miniads2.exe

A dropper a következő registry bejegyzéseket hozza létre, hogy meggyőződjön a fő komponens futtatásáról minden Windows újraindításnál:

A főkulcsban: HKCUSoftwareMicrosoftWindowsCurrentVersionRun

Állítsa be az értéket: “<random string>”, például “adsacquy”

Ezzel az adatta: “<name of the main click fraud component>”, például “%windir%ads.exe”

Ezután a dropper futtatja a fő kattintásos csaló összetevőt.

Payload:

Kattintás alapú csalást hajt végre:

A fő komponens csatlakozik az előre meghatározott szerverhez hogy fogadhassa az információkat a kattintásos csalás tevékenységeihez.

A Win32/Rongvhin a következő szerverekhez csatlakozik:

  • modzvinacf.blogspot.com
  • 120.72.85.141

Némely pay-per-click (kattintásonként fizető) szolgáltató amelyeket becsap a kattintós malware:

  • adf.ly
  • bc.vc
  • cf.ly
  • iiiii.in
  • linkbucks.com
  • popads.net
  • poponclick.com
  • riurl.com
  • smileptp.info
  • ulmt.in
  • wwy.me

Megakadályozza hogy bizonyos weblapokhoz hozzáférjünk:

A Rongvhin néhány variánsa külön bejegyzéseket tehet a Windows Hosts fájljába hogy megakadályozza a hozzáférést az alábbi weboldalakhoz:

  • 4vcoin.com
  • 9hack.net
  • asiadot.asia
  • auto.congdonggame.net
  • cabalviet.net
  • cabalvina.com
  • congdonggame.net
  • gamethuvn.com
  • gamethuvn.net
  • hack-game.in
  • hack.dianguc.tv
  • hackaudition.info
  • hackcf.in
  • hackcf.tv
  • hackcucdinh.blogspot.com
  • hackdotkich.info
  • hackvcoin.in
  • hackvcoin.net
  • hackzingspeed.com
  • home.topgamethu.com
  • kiemthe123.com
  • maxmu.vn
  • mu.gamethuvn.net
  • muasung.biz
  • mukimthan.com
  • mumoi2013.com
  • mumoi2013.net
  • muonline-hanoi.vn
  • muviet.vn
  • progamethu.com
  • superhackcf.com
  • taigamemu.blogspot.com
  • timhack.com
  • vcoinvtc.info
  • xathu.net
  • xgamethu.com

Parancsikonokat hoz létre:

A Win32/Rongvhin parancsikonokat is hozhat létre a következő nevekkel, amelyek a www.dankinthe.vn weboldalra mutatnak:

%AllUserProfile%DesktopGoogle Firefox.url

%AllUserProfile%DesktopInternet Explorer.url

%AllUserProfile%DesktopMozilla Firefox.url

%UserProfile%DesktopGoogle Firefox.url

%UserProfile%DesktopInternet Explorer.url

%UserProfile%DesktopMozilla Firefox.url

Törli a gyorsítótárat:

A Win32/Rongvhin az alábbi parancsot futtatja hogy rendszeresen fájlokat töröljön a Temporary Internet Files mappából:

RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 8

További információk:

Néhány variáns letöltheti a C:ipcheck.txt-t számítógépre. A régebbi változatok a Leader.dat-ot is.

Tünetek:

A következő tünetek jelezhetik, hogy ez a malware jelen van a gépén:

Ezek a fájlok megtalálhatóak a gépen:

%windir%adsminirun.exe

%windir%adsminirun2.exe

%windir%ads.exe

%windir%ads1.exe

%windir%ads2.exe

%windir%ads3.exe

%windir%click.exe

%windir%clickads.exe

%windir%miniads.exe

%windir%miniads1.exe

%windir%miniads2.exe

Valamint ezeket a weboldalakat nem tudja megnyitni:

– 4vcoin.com

– 9hack.net

– asiadot.asia

– auto.congdonggame.net

– cabalviet.net

– cabalvina.com

– congdonggame.net

– gamethuvn.com

– gamethuvn.net

– hack-game.in

– hack.dianguc.tv

– hackaudition.info

– hackcf.in

– hackcf.tv

– hackcucdinh.blogspot.com

– hackdotkich.info

– hackvcoin.in

– hackvcoin.net

– hackzingspeed.com

– home.topgamethu.com

– kiemthe123.com

– maxmu.vn

– mu.gamethuvn.net

– muasung.biz

– mukimthan.com

– mumoi2013.com

– mumoi2013.net

– muonline-hanoi.vn

– muviet.vn

– progamethu.com

– superhackcf.com

– taigamemu.blogspot.com

– timhack.com

– vcoinvtc.info

– xathu.net

– xgamethu.com

Támadás típusa

Unknown (Ismeretlen)

Hatás

Unknown (Ismeretlen)

Szükséges hozzáférés

Unknown (Ismeretlen)