Zbot.THX trójai


2013. augusztus 31. 08:47

CH azonosító

CH-9714

Angol cím

Zbot.THX trojan

Felfedezés dátuma

2013.08.27.

Súlyosság

Közepes

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A kémprogram elsősorban a levelező rendszereket támadja. Felhasználónevek, valamint jelszavak gyűjtését végzi.

Leírás

A kémprogram elsősorban a levelező rendszereket támadja, és felhasználónevek, valamint jelszavak gyűjtését végzi. Megfertőzi a Windows rendszer folyamatait “explorer.exe”, így a windows tűzfal mellett is aktív tud maradni. Ha víruskeresőre, virtuális gépre utaló jeleket tapasztal a program azonnal leállítja a működését.

Technikai folyamatai:

1. Létrehozza a következő állományokat:
%Application Data%[véletlenszerű karakterek][véletlenszerű karakterek].exe
%Application Data%[véletlenszerű karakterek][véletlenszerű
karakterek].[véletlenszerű karakterek]

2. Létrehoz két új mappát az alábbiak szerint:
%Application Data%[véletlenszerű karakterek]

3. Létrehoz néhány mutexet annak érdekében, hogy egyszerre csak egy
példányban fusson a rendszeren.

4. Megfertőzi az explorer.exe folyamatot.

5. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
[véletlenszerű karakterek].exe = “%Application Data%[véletlenszerű
karakterek][véletlenszerű karakterek].exe”

6. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_CURRENT_USERSoftwareMicrosoft[véletlenszerű karakterek]
HKEY_CURRENT_USERSoftwareMicrosoft[véletlenszerű
karakterek][véletlenszerű karakterek] = “[véletlenszerű karakterek]”

7. Megpróbálja megkerülni a Windows beépített tűzfalát:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess
ParametersFirewallPolicyStandardProfileAuthorizedApplications
List
%Windows%explorer.exe = “%Windows%explorer.exe:*:Enabled:Windows Explorer”

8. A Google egyik weboldalának lekérdezésével ellenőrzi, hogy van-e élő
internetkapcsolat.

9. Csatlakozik előre meghatározott távoli szerverekhez, és azokról egy-egy
konfigurációs állományt tölt le.

10. Összegyűjti az alábbi adatokat:
– cookie fájlok
– postafiókokkal kapcsolatos adatok, e-mail címek, jelszavak, szerveradatok.

11. Ellenőrzi, hogy olyan környezetben fut-e, amelyet víruselemzésre
használnak. Ehhez többek között az alábbi fájlokat, illetve a regisztrációs
adatbázisban lévő bejegyzéseket kérdezi le:
C:TOOLSexecute.exe
C:popupkiller.exe
SbieDll.dll
HKEY_LOCAL_MACHINESoftwareWine
HKEY_CURRENT_USERSoftwareWine
    Támogatóink
<http://www.biztonsagportal.hu/>
Biztonságportál <http://www.biztonsagportal.hu/>
<http://www.biztonsagcenter.hu/>
Biztonságcenter <http://www.biztonsagcenter.hu/>
 <http://www.netlock.hu/>
 <http://www.symantec.hu/>

Megoldás

Rendszeresen frissített vírusírtó

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Hatás

Unknown (Ismeretlen)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: about-threats.trendmicro.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »