středa 16. května 2012

Trojan.Tatanarg.B

Trojan.Tatanarg.B je trojský kůň, který se snaží ukrást informace z počítače ohrožena. 
Trojan vstřikuje svůj kód do procesu explorer.exe. Trojan se připojí na těchto místech na portu 31439: Vlastní . www [domain name] / g.phpPoznámka :. [DOMAIN NAME] je variabilní a může se změnit Trojan klesá Následující soubor: % USERPROFILE% \ Data aplikací \ Identities \ [RANDOM CLSID] \ LicenseValidator.exe Trojan vytváří následující podklíče registru: 










  • HKEY_CURRENT_USER \ Software \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ StartCurrId
  • HKEY_CURRENT_USER \ Software \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ StartMainId
  • HKEY_CURRENT_USER \ Software \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ PersistFolder
  • HKEY_CURRENT_USER \ Software \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ PersistFile
  • HKEY_CURRENT_USER \ Software \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ StartProcIrq
  • HKEY_CURRENT_USER \ Software \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ StartMainMask
  • HKEY_CURRENT_USER \ Software \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ StartCurrMask
  • HKEY_CURRENT_USER\Software\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\ReserveProgram

Trojan vytvoří následující položku registru tak, že spustí při každém startu Windows: 
  • HKEY_CURRENT_USER \ Software \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ "LicenseValidator" = "% USERPROFILE% \ Data aplikací \ Identities \ [RANDOM CLSID] \ LicenseValidator.exe"

Trojan vytváří následující položky registru: 
  • HKEY_CURRENT_USER \ Software \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ "StartUrlId" = "0"
  • HKEY_CURRENT_USER \ Software \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ "Procházet soubory" = "[RANDOM CLSID]"
  • HKEY_CURRENT_USER \ Software \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ "Procházet složky" = "[RANDOM CLSID]"

Trojský kůň poté klesne moduly v BZIP a více xor formuláře na následujícím umístění: 
% USERPROFILE% \ Data aplikací \ TeamViewer \ [RANDOM CLSID] \ [náhodné znaky] dat. Trojan může sledovat aktivitu na těchto webových prohlížečů a umožňují zachytit informace z přístupných webových stránek: 


  • Sol
  • Chrome
  • Firefox
  • Internet Explorer
  • Opera
  • Maxthon
  • Netscape Navigator

Trojan zachytí citlivé informace, například údaje o všech procesů spuštěných webových stránkách a historie prohlížení a podrobnosti přístupné stránky internetového bankovnictví, a odešle ji na těchto vzdálených míst: 
  • [Http://] qualitymayorista.com / swf / [ODSTRANIT]
  • [Http://] klthk.cz / pgm / [ODSTRANIT]
  • [Http://] www.willowbendfitnessclub.com/com/ [ODSTRANIT]
  • [Http://] www.go-cube.ch/ [ODSTRANIT]

Trojan může použít falešný certifikát pro man-in-the-middle útoky na bankovních webových stránkách.
Vystavil v
Štítky:

Žádné komentáře:

Okomentovat

Přihlásit se k odběru: Komentáře k příspěvku (Atom)