Zekapab trójai

CH azonosító

CH-13271

Angol cím

Trojan.Zekapab

Felfedezés dátuma

2016.05.26.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 8, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Zekapab trójai egy hátsó kaput nyit a fertőzött rendszeren, amin keresztül adatokat szivárogtat, illetve lehetőséget adhat további káros összetevők letöltésére.

Leírás

Futáskor létrehozza az alábbi fájlokat:

  • %AppData%MicrosoftNetworkHTML Helpsrvsmcl.exe
  • %Temp%dbase.exe
  • %AppData%MicrosoftNetworkSupportAssistansesrvsml.exe
  • %Temp%srvmcc.exe
  • %AppData%MicrosoftNetworkHTML Helpsrvsml.exe
  • %AppData%MicrosoftNetworkConnectionsCertificatesrvscc.exe
  • %Temp%_GUpdater.exe

Valamint az alábbi registry bejegyzéseket: 

  • HKEY_CURRENT_USERSoftwareMicrosoftDrivers”DriverID” = “110011”
  • HKEY_CURRENT_USERSoftwareMicrosoftConnect”Software” = “11110111”
  • HKEY_CURRENT_USERSoftwareMicrosoftActiveAssistance”Software” = “110101”
  • HKEY_CURRENT_USERSoftwareMicrosoftConnect”Software” = “11110111”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”MSCertificates” = “%Temp%dbase.exe”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”ThemeManager” = “%Temp%_GUpdater.exe”
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”MSCertificates” = “%Temp%srvmcc.exe”

Az alábbi process-ek detektálása esetén felfüggeszti a működését: 

  • vmacthlp.exe
  • vmtoolsd.exe
  • VBoxTray.exe
  • VBoxService.exe
  • prl_cc.exe
  • prl_tools.exe
  • SharedIntApp.exe
  • vmusrvc.exe
  • vmsrvc.exe

Ezt követően további összetevőket tölt le az alábbi távoli helyek valamelyikéről:

  • 46.183.217.69/ZenKapabilityCompanyA835/Check^Certificate774^forUpdater0$/signature372-9932.php
  • 46.183.217.69/ZenKapabilityCompanyA835/Check^Certificate774^forUpdater0$/signature372-9932.php
  • 46.183.217.69/ZenKapabilityCompanyA835/Check^Certificate774^forUpdater0$/signature372-9932.php
  • 80.255.6.5/LoG-statistic_save_audater1134-15/date-update9048353094c/DbaseUpdaterLog883529-11623.php
  • 80.255.6.5/LoG-statistic8397420934809/date-update9048353094c/StaticIpUpdateLog23741033.php
  • 80.255.6.5/LoG-statistic8399872490934809/date-update9048353094c/DbaseUpdaterLog77720817-01.php
  • [http://]46.183.217.69/MSSQL-certificate-update-cheker/dat^^e007dbase-26/check-up[REMOVED]
  • [http://]46.183.217.69/MSSQL-certificate-update-cheker/dat^^e007dbase-26/check-up[REMOVED]
  • [http://]46.183.217.69/World_update_crt_cheker_new_database27843/date007dbase-1221/check-base-up[REMOVED]
  • [http://]80.255.6.5/daily-update-certifaicates52735462534234/update[REMOVED]
  • [http://]80.255.6.5/daily-update-certificatedkj87654432/snmp-113[REMOVED]
  • [http://]80.255.6.5/daily-update-servicedbase-3321/services-dbase1701[REMOVED]
  • [http://]80.255.6.5/M^S-fsecur1e-service-6643/updateA-checkA-[REMOVED]
  • [http://]93.115.38.132/KiiOppSAXCSaqwe/srvss[REMOVED]
  • [http://]93.115.38.132/SmRQZPYxAR/srvss[REMOVED]

A letöltött file-t az alábbi helyekre menti:

  • %AppData%MicrosoftNetworkHTML Helpsrvsmcl.exe
  • %Temp%dbase.exe
  • %AppData%MicrosoftNetworkSupportAssistansesrvsml.exe
  • %Temp%srvmcc.exe
  • %AppData%MicrosoftNetworkHTML Helpsrvsml.exe
  • %AppData%MicrosoftNetworkConnectionsCertificatesrvscc.exe
  • %Temp%_GUpdater.exe

Majd hozzá kezd az információgyűjtéshez, amelynek eredményét továbbítja a vezérlőszerver felé. Az alábbiakat gyűjti:

  • Process-ek listája
  • Telepített alkalmazások listája.

Megoldás

  • Használjon naprakész vírusírtó szoftvert.
  • Norton Power Eraser (NPE) felismeri és képes eltávolítani a kártevőt.