Zbot.D trójai

CH azonosító

CH-13187

Angol cím

Zbot.D trojan

Felfedezés dátuma

2016.04.20.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Zbot trójai a kezdetek óta adatlopást szolgál. Míg korábban különösen a bizalmas banki adatokra volt éhes, addig napjainkban már korántsem ennyire válogatós. A legújabb variánsa is megannyi bizalmas adat iránt mutat fokozott érdeklődést. Így például felhasználóneveket, jelszavakat, FTP hozzáférési információkat, e-mail címeket, postafiók adatokat és böngészési előzményeket is bezsebel.

Leírás

A Zbot.D az FTP-kliensek mellett különösen a webböngészőket állítja célkeresztbe. Azok folyamatainak megfertőzésével folyamatosan figyelemmel kíséri a felhasználó tevékenységét, és gyűjti a weboldalakon megadott adatokat.

A trójai egy billentyűzetfigyelő modullal is rendelkezik, amelynek aktiválódása után további értékes információkat tud gyűjteni, majd kiszivárogtatni.

Technikai Részletek:

1. Létrehoz két véletlenszerű fájlnévvel ellátott mappát az AppData könyvtárba.

2. Felmásolja a rendszerre a saját fájljait:
%AppData%[véletlenszerű fájlnevek][véletlenszerű fájlnevek].[véletlenszerű fájlnevek]
%AppData%[véletlenszerű fájlnevek][véletlenszerű fájlnevek].tmp
%AppData%[véletlenszerű fájlnevek][véletlenszerű fájlnevek].exe
%AppData%Identities{91FD83EF-B9F6-410E-97DC-5C667AC85868}MicrosoftOutlook ExpressSent Items.dbx
%AppData%Identities{91FD83EF-B9F6-410E-97DC-5C667AC85868}MicrosoftOutlook ExpressFolders.dbx
%AppData%Identities{91FD83EF-B9F6-410E-97DC-5C667AC85868}MicrosoftOutlook ExpressInbox.dbx
%AppData%Identities{91FD83EF-B9F6-410E-97DC-5C667AC85868}MicrosoftOutlook ExpressOffline.dbx

3. A regisztrációs adatbázishoz hozzáadja, illetve módosítja az alábbi értékeket:
HKEY_CURRENT_USERSoftwareMicrosoft[véletlenszerű fájlnevek]”[véletlenszerű fájlnevek]” = “[…]”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[véletlenszerű fájlnevek]” = “%AppData%[véletlenszerű fájlnevek][véletlenszerű fájlnevek].exe”
HKEY_CURRENT_USERSoftwareMicrosoftWABWAB4″FirstRun” = “1”
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerPrivacy”CleanCookies” = “0”
HKEY_CURRENT_USERSoftwareMicrosoftInternet Account ManagerAccounts”ConnectionSettingsMigrated” = “1”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionUnreadMail[USER NAME]@[NETWORK DOMAIN]”[TIME STAMP]” = “[HEXADECIMAL VALUE]”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones4″1609″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones4″1406″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3″1609″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3″1406″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones2″1609″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones1″1609″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones1″1406″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones”1609″ = “0”
HKEY_CURRENT_USERIdentities{91FD83EF-B9F6-410E-97DC-5C667AC85868}SoftwareMicrosoftOutlook Express5.0″Compact Check Count” = “2”

4. Nyit egy hátsó kaput, és HTTP-n keresztül adatokat küld, illetve fogad.

5. Naplózza a billentyűleütéseket.

6. Kigyűjti a webböngészőkben letárolt bejelentkezési adatokat.

7. Összegyűjti az FTP-eléréseket.

8. Megfertőzi a webböngészők folyamatait, és figyelemmel kíséri a felhasználó tevékenységét.

9. A megszerzett adatokat kiszivárogtatja.

Megoldás

Naprakész vírusirtó és tűzfal használata.

Hivatkozások

Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu