Zekapab trójai

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Windows 2000, Windows 7, Windows 8, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Zekapab trójai egy hátsó kaput nyit a fertőzött rendszeren, amin keresztül adatokat szivárogtat, illetve lehetőséget adhat további káros összetevők letöltésére.

Leírás

Futáskor létrehozza az alábbi fájlokat:

• %AppData%MicrosoftNetworkHTML Helpsrvsmcl.exe
• %Temp%dbase.exe
• %AppData%MicrosoftNetworkSupportAssistansesrvsml.exe
• %Temp%srvmcc.exe
• %AppData%MicrosoftNetworkHTML Helpsrvsml.exe
• %AppData%MicrosoftNetworkConnectionsCertificatesrvscc.exe
• %Temp%_GUpdater.exe

Valamint az alábbi registry bejegyzéseket: 

• HKEY_CURRENT_USERSoftwareMicrosoftDrivers”DriverID” = “110011”
• HKEY_CURRENT_USERSoftwareMicrosoftConnect”Software” = “11110111”
• HKEY_CURRENT_USERSoftwareMicrosoftActiveAssistance”Software” = “110101”
• HKEY_CURRENT_USERSoftwareMicrosoftConnect”Software” = “11110111”
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”MSCertificates” = “%Temp%dbase.exe”
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”ThemeManager” = “%Temp%_GUpdater.exe”
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”MSCertificates” = “%Temp%srvmcc.exe”

Az alábbi process-ek detektálása esetén felfüggeszti a működését: 

• vmacthlp.exe
• vmtoolsd.exe
• VBoxTray.exe
• VBoxService.exe
• prl_cc.exe
• prl_tools.exe
• SharedIntApp.exe
• vmusrvc.exe
• vmsrvc.exe

Ezt követően további összetevőket tölt le az alábbi távoli helyek valamelyikéről:

• 46.183.217.69/ZenKapabilityCompanyA835/Check^Certificate774^forUpdater0$/signature372-9932.php
• 46.183.217.69/ZenKapabilityCompanyA835/Check^Certificate774^forUpdater0$/signature372-9932.php
• 46.183.217.69/ZenKapabilityCompanyA835/Check^Certificate774^forUpdater0$/signature372-9932.php
• 80.255.6.5/LoG-statistic_save_audater1134-15/date-update9048353094c/DbaseUpdaterLog883529-11623.php
• 80.255.6.5/LoG-statistic8397420934809/date-update9048353094c/StaticIpUpdateLog23741033.php
• 80.255.6.5/LoG-statistic8399872490934809/date-update9048353094c/DbaseUpdaterLog77720817-01.php
• [http://]46.183.217.69/MSSQL-certificate-update-cheker/dat^^e007dbase-26/check-up[REMOVED]
• [http://]46.183.217.69/MSSQL-certificate-update-cheker/dat^^e007dbase-26/check-up[REMOVED]
• [http://]46.183.217.69/World_update_crt_cheker_new_database27843/date007dbase-1221/check-base-up[REMOVED]
• [http://]80.255.6.5/daily-update-certifaicates52735462534234/update[REMOVED]
• [http://]80.255.6.5/daily-update-certificatedkj87654432/snmp-113[REMOVED]
• [http://]80.255.6.5/daily-update-servicedbase-3321/services-dbase1701[REMOVED]
• [http://]80.255.6.5/M^S-fsecur1e-service-6643/updateA-checkA-[REMOVED]
• [http://]93.115.38.132/KiiOppSAXCSaqwe/srvss[REMOVED]
• [http://]93.115.38.132/SmRQZPYxAR/srvss[REMOVED]

A letöltött file-t az alábbi helyekre menti:

• %AppData%MicrosoftNetworkHTML Helpsrvsmcl.exe
• %Temp%dbase.exe
• %AppData%MicrosoftNetworkSupportAssistansesrvsml.exe
• %Temp%srvmcc.exe
• %AppData%MicrosoftNetworkHTML Helpsrvsml.exe
• %AppData%MicrosoftNetworkConnectionsCertificatesrvscc.exe
• %Temp%_GUpdater.exe

Majd hozzá kezd az információgyűjtéshez, amelynek eredményét továbbítja a vezérlőszerver felé. Az alábbiakat gyűjti:

• Process-ek listája
• Telepített alkalmazások listája.

Megoldás

• Használjon naprakész vírusírtó szoftvert.
• A Norton Power Eraser (NPE) felismeri és képes eltávolítani a kártevőt.

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Egyéb referencia: www.symantec.com