Encyklopedický vstup
Aktualizováno: 27.února 2012 | Publikováno: Duben 30, 2011 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 27.února 2012 | Publikováno: Duben 30, 2011 Aliasy
-
W32/Suspicious_Gen2.LQDGT (Norman)
- Trojan.Agent2!ChXpWmXSFdU (VirusBuster)
- Trojan horse PSW.Agent.AMDQ (AVG)
- TR/Spy.36352.84 (Avira)
- Trojan.Heur.DP.cCW@ayhvbjo (BitDefender)
- Trojan.Packed.21594 (Dr.Web)
- Trojan.Win32.Agent2.dlvm (Kaspersky)
- Trj/Lukicsel.A (Panda)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.127.250.0 Vydáno: 18.května 2012 | Detekce původně vytvořeny: Definice: 1.111.1396.0 Vydáno: 03.09.2011 |
Shrnutí
PWS:Win32/Fareit je rodina trojských koní, které krade citlivé informace z postižené počítači uživatele a odešle ji na vzdálený útočník.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost těchto souborů:
%ProgramFiles%/lp/<čtyři hexadecimální číslice>/<number>.tmp
%AppData%\dwme.exe and %temp%\dwme.exe%AppData%\svhostu.exe and %temp%\svhostu.exe
%temp%\Client Hash - Přítomnost těchto registru změnami: V podklíč:
HKCU\Software\WinRAR
Nastaví hodnotu: "HWID"
Vzhledem k objemu dat: <GUID>
Technické informace (analýza)
PWS:Win32/Fareit je rodina trojských koní, které krade citlivé informace z postižené počítači uživatele a odešle ji na vzdálený útočník.
Instalace
PWS:Win32/Fareit je obvykle instalovány na konkrétní místa jiným malwarem, a běží z tohoto umístění.
Například, Backdoor:Win32/Cycbot nainstaluje do %ProgramFiles%/lp/<čtyři hexadecimální číslice>/<number>.tmp (Například%ProgramFiles%\lp\008a\7.tmp), Zatímco Rogue:Win32/FakeScanti nainstaluje do %AppData%\dwme.exe and %temp%\dwme.exeNebo%AppData%\svhostu.exe and %temp%\svhostu.exe.
Při spuštění se vytvoří položku registru jako jsou například následující:
V podklíč: HKCU\Software\WinRAR
Nastaví hodnotu: "HWID"
S údaje: <GUID> (například{FF72229E-611D-4FD5-A025-00C933DAA429})
Nastaví hodnotu: "HWID"
S údaje: <GUID> (například{FF72229E-611D-4FD5-A025-00C933DAA429})
To může také ukládat informace do hodnoty registru HKCU\Software\WinRAR\Client Hash, Nebo v následujícím souboru:
%temp%\Client Hash
Některé varianty odstranit sami poté, co byl ukončen.
Užitečná
Krade citlivé informace
Malware se pokusí načíst uložené webové stránky hesla z prohlížečů, včetně Chrome, Firefox, Internet Explorer, A Opera.
Zákon se také pokouší ukrást uložené informace o účtu, jako jsou názvy serverů a čísel portů přihlášení IDs a hesla z následujících FTP Klienti nebo programy oblačnosti skladování, jsou-li nainstalován:
- 32bit FTP
- 3D FTP
- ALFTP
- BitKinex
- Blaze FTP
- BulletProof FTP
- ClassicFTP
- Coffee Cup FTP
- Core FTP
- CuteFTP
- Direct FTP
- Easy FTP
- ExpanDrive
- FFFTP
- FTP++
- FTP Client
- FTP Control
- FTP Explorer
- FTP Navigator
- FTP Now
- FTP Rush
- FTPCommander
- FTP Voyager
- Far FTP
- FileZilla
- FlashFxp
- FlingFTP
- Free FTP
- Frigate FTP
- LeapFTP
- Leech FTP
- NetDrvie
- Opus
- Robo FTP
- SecureFX
- SmartFTP
- Total Commander
- TurboFTP
- UltraFXP
- WS_FTP
- Web Site Publisher
- WebDrive
- WinSCP
- Windows Commander
- Wise-FTP by AceBit
To pak všechny příspěvky této informace na vzdálený server. Příklady serverů kontaktován malware
patří:
patří:
- 178.17.165.42
- 178.18.243.211
- 178.238.228.86
- 46.108.225.50
- 46.28.107.13
- 95.143.35.118
- bingtobing.com
- domnewsweetnew12312d.ru
- fnijatodn.cz.cc
- fokanal.cz.cc
- f<removed>kingav.com
- f<removed>kingavast.com
- gointopka.com
- klamur.co.cc
- onlinetumb.com
- ourdatatransfers.com
- piwalyzocyluz.com
- repo-sys-online.com
- retrydomain.com
- safaldi.com
- sceihfub.cz.cc
- sumatevebat.com
- teleinero.com
- TRANSERSDATAFORME.COM
- winusing.com
Ke stažení a vykonává libovolné soubory
Některé vzorky PWS:Win32/Fareit byly pozorovány stažení další soubor, uložit jej na %temp%adresáře, a pak ji spuštěním. V době publikování, tyto soubory byly variantyPWS:Win32/Zbot.
Žádné komentáře:
Okomentovat