Zbot.THX trójai

CH azonosító

CH-9714

Angol cím

Zbot.THX trojan

Felfedezés dátuma

2013.08.27.

Súlyosság

Közepes

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A kémprogram elsősorban a levelező rendszereket támadja. Felhasználónevek, valamint jelszavak gyűjtését végzi.

Leírás

A kémprogram elsősorban a levelező rendszereket támadja, és felhasználónevek, valamint jelszavak gyűjtését végzi. Megfertőzi a Windows rendszer folyamatait “explorer.exe”, így a windows tűzfal mellett is aktív tud maradni. Ha víruskeresőre, virtuális gépre utaló jeleket tapasztal a program azonnal leállítja a működését.

Technikai folyamatai:

1. Létrehozza a következő állományokat:
%Application Data%[véletlenszerű karakterek][véletlenszerű karakterek].exe
%Application Data%[véletlenszerű karakterek][véletlenszerű
karakterek].[véletlenszerű karakterek]

2. Létrehoz két új mappát az alábbiak szerint:
%Application Data%[véletlenszerű karakterek]

3. Létrehoz néhány mutexet annak érdekében, hogy egyszerre csak egy
példányban fusson a rendszeren.

4. Megfertőzi az explorer.exe folyamatot.

5. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
[véletlenszerű karakterek].exe = “%Application Data%[véletlenszerű
karakterek][véletlenszerű karakterek].exe”

6. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_CURRENT_USERSoftwareMicrosoft[véletlenszerű karakterek]
HKEY_CURRENT_USERSoftwareMicrosoft[véletlenszerű
karakterek][véletlenszerű karakterek] = “[véletlenszerű karakterek]”

7. Megpróbálja megkerülni a Windows beépített tűzfalát:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess
ParametersFirewallPolicyStandardProfileAuthorizedApplications
List
%Windows%explorer.exe = “%Windows%explorer.exe:*:Enabled:Windows Explorer”

8. A Google egyik weboldalának lekérdezésével ellenőrzi, hogy van-e élő
internetkapcsolat.

9. Csatlakozik előre meghatározott távoli szerverekhez, és azokról egy-egy
konfigurációs állományt tölt le.

10. Összegyűjti az alábbi adatokat:
– cookie fájlok
– postafiókokkal kapcsolatos adatok, e-mail címek, jelszavak, szerveradatok.

11. Ellenőrzi, hogy olyan környezetben fut-e, amelyet víruselemzésre
használnak. Ehhez többek között az alábbi fájlokat, illetve a regisztrációs
adatbázisban lévő bejegyzéseket kérdezi le:
C:TOOLSexecute.exe
C:popupkiller.exe
SbieDll.dll
HKEY_LOCAL_MACHINESoftwareWine
HKEY_CURRENT_USERSoftwareWine
    Támogatóink
<http://www.biztonsagportal.hu/>
Biztonságportál <http://www.biztonsagportal.hu/>
<http://www.biztonsagcenter.hu/>
Biztonságcenter <http://www.biztonsagcenter.hu/>
 <http://www.netlock.hu/>
 <http://www.symantec.hu/>

Megoldás

Rendszeresen frissített vírusírtó