Win32/Rootkit.BlackEnergy

CH azonosító

CH-11784

Angol cím

Win32/Rootkit.BlackEnergy

Felfedezés dátuma

2010.10.24.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Win32/Rootkit.BlackEnergy.AA trójai egy hátsó kaput aktivál, majd távoli hozzáférést tesz lehetővé. 

A trójai legújabb (2014) változatai (Win32/Rootkit.BlackEnergy.BC) már képesek UNIX/LINUX/ARM alapú és ipari rendszerek megfertőzésére is, így a napokban nagy figyelmet fordítottak rá, mert veszélyes ún. Crimeware vált belőle.

Leírás

Mikor aktiválódik a trójai, létrehozza az alábbi állományokat:

  • %system%­drivers­%randomstring%.sys
  • %system%­drivers­str.sys
  • %system%­MAI1.tmp

Az alábbi regisztrációs bejegyzéseket hozza létre:

  • [HKEY_LOCAL_MACHINE­SYSTEM­CurrentControlSet­Services­%randomstring%]
    • “ImagePath” = “%system%­drivers­%randomstring%.sys”
    • “DisplayName” = %randomstring%
    • “Group” = “Boot Bus Extender”
    • “Type” = 1
    • “_MAIN” = “%system%­MAI1.tmp”
    • “RulesData” = %variable1%
    • “krnl_sleepfreq” = %variable2%
    • “krnl_servers_list” = %variable3%

Egy változó tartalmú kapakterlánc helyett használható a %randomstring%, %variable1-3% .

Egyéb információk:

A trójai adatokat és parancsokat fogad egy távoli számítógépről, vagy az internetről.

A trójai tartalmaz egy listát 3 db URL ről ami HTTP protokollt használ.

Ezekkel a következő tevékenységet képes elvégezni:

  • DoS/DDoS támadásokat indíthatnak
  • fájlokat tölt le egy távoli számítógépről vagy az internetről
  • végrehajtaható fájlokat futtat
  • megszüntethet futó folyamatokat
  • különböző információkat küld a fertőzött számítógépről
  • Újabb verzióra ferissíti magát

A következő programokat zárja be:

  • avgchsvx.exe
  • avgrsx.exe
  • AVGIDSAgent.exe
  • avgcsrvx.exe
  • avgfrw.exe
  • avgtray.exe
  • AVGIDSMonitor.exe
  • avgwdsvc.exe
  • avgfws9.exe
  • avgemc.exe
  • avgam.exe
  • avgnsx.exe
  • avgcsrvx.exe
  • avgui.exe
  • avgnt.exe
  • avfwsvc.exe
  • avguard.exe
  • avshadow.exe
  • avmailc.exe
  • avwebgrd.exe
  • cmdagent.exe
  • cfp.exe
  • dwengine.exe
  • spiderml.exe
  • spidergate.exe
  • spideragent.exe
  • ekrn.exe
  • egui.exe
  • avp.exe
  • McSvHost.exe
  • mfevtps.exe
  • mfefire.exe
  • mcshield.exe
  • mcagent.exe
  • msseces.exe
  • MsMpEng.exe
  • ccSvcHst.exe
  • RkUnhooker.exe
  • RootRepeal.exe
  • gmer.exe
  • kl1.sys
  • Normandy.sys
  • greypill.sys
  • gmer.sys
  • rootrepeal.sys

A trójai az alábbi windows API-kel fonódik össze:

  • NtQuerySystemInformation (ntdll.dll)
  • NtOpenProcess (ntdll.dll)
  • NtOpenThread (ntdll.dll)
  • NtSuspendThread (ntdll.dll)
  • NtTerminateThread (ntdll.dll)
  • NtSetContextThread (ntdll.dll)
  • NtOpenKey (ntdll.dll)
  • NtEnumerateKey (ntdll.dll)
  • NtEnumerateValueKey (ntdll.dll)
  • NtSetValueKey (ntdll.dll)
  • NtDeleteValueKey (ntdll.dll)
  • NtQueryInformationThread (ntdll.dll)
  • NtReadVirtualMemory (ntdll.dll)
  • NtWriteVirtualMemory (ntdll.dll)
  • NtProtectVirtualMemory (ntdll.dll)
  • NtQueryDirectoryFile (ntdll.dll)
  • NtShutdownSystem (ntdll.dll)

A trójai létrehoz és futtat új változatokat a saját program kódjából, az alábbi folyamatokban:

  • svchost.exe
  • explorer.exe

A programot alapvetően spam levelek küldésére használhatják.

Megoldás

Naprakész vírusírtó szoftver és tűzfal használata.