Encyklopedie vstup
Aktualizováno: 4.5.2012 | Publikováno: Červenec 22, 2011 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 4.5.2012 | Publikováno: Červenec 22, 2011 Aliasy
-
PWS-Zbot.gen.xj (McAfee)
- Troj/BredoZp-IP (Sophos)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.127.273.0 Vydáno: 19.května 2012 | Detekce původně vytvořeny: Definice: 1.109.116.0 Vydáno: 22.července 2011 |
Shrnutí
Trojan:Win32/Bublik.B je trojan, který monitoruje a krade údajů k přihlášení on-line bankovních a jiných finančních institucí. Trojan navíc vyžaduje použití Internet Explorer Pokud jiný webový prohlížeč spuštěn v počítači.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Při zahájení jeden z následujících webových prohlížečů, Internet Explorer se spustí místo:
- Google Chrome
- Netscape Navigator
- Opera
- Safari
- Hodnota registru je určena jako "Debugger" pro "Userinit.exe", stejně jako v následujícím příkladu:
V podklíče:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
Nastaví hodnotu: "Debugger"
wth údaje: "<malware soubor jméno>" (např. "B48A1CB38B4C5E5D18A.exe")
Technické informace (analýza)
Trojan:Win32/Bublik.B je trojan, který monitoruje a krade údajů k přihlášení on-line bankovních a jiných finančních institucí. Trojan navíc vyžaduje použitíInternet Explorer Pokud jiný webový prohlížeč spuštěn v počítači.
Instalace
Trojan:Win32/Bublik.B Bylo pozorováno, jenž je distribuován jako příloha e-mailu s předmětem "Booking confirmation"A spoofed z adresy z"booking.com". Připojený soubor může být ZIP Archiv jako "From-Booking-Com_Reservation-Details04261270703.zip".
Jestliže Trojan:Win32/Bublik.B je spustit, to klesne kopii trojan jako náhodně s názvem souboru do Windows systémová složka, jako v následujících příkladech:
- %windir%\System32\B48A1CB38B4C5E5D18A.exe
- %windir%\System32\defp.exe
Upravuje registru provést klesla malware kopii, když Windows systém spustitelný "userinit.exe"Běhy, které vzniká při Windows start.
V podklíč: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
Nastaví hodnotu: "Debugger"
S údaje: "<malware soubor jméno>" (např. "B48A1CB38B4C5E5D18A.exe")
Nastaví hodnotu: "Debugger"
S údaje: "<malware soubor jméno>" (např. "B48A1CB38B4C5E5D18A.exe")
Chcete-li skrýt svou přítomnost, Trojan provádí svůj náklad v rámci systému procesu "csrss.exe". Trojan:Win32/Bublik.B také vytvoří náhodný podklíč registru s binární data, jako v následujícím příkladu:
V podklíč: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\<version>\1D01061D\
Nastavuje hodnotu: " (výchozí) "
Vzhledem k objemu dat: ".0z._b¨ýnñãåíýdé¥..xgcèo)sìt.r!.þ.~¤.ïð«1...ó.86.!9qx5°.qò.ýûé\´½ï{î....$/çznr.eµ.&ç.±.û<.óð%äc.âvfc./ð.qi×.|ó.¬¸äuòàø..).êm..|q.^n¬õ«xæ.é¡ï#...ålfw.s8.y*ê.e..üíç&õí...q.·.[%å^õ#.¹äú.æ·-ñwz.¬¥íonz"
Nastavuje hodnotu: " (výchozí) "
Vzhledem k objemu dat: ".0z._b¨ýnñãåíýdé¥..xgcèo)sìt.r!.þ.~¤.ïð«1...ó.86.!9qx5°.qò.ýûé\´½ï{î....$/çznr.eµ.&ç.±.û<.óð%äc.âvfc./ð.qi×.|ó.¬¸äuòàø..).êm..|q.^n¬õ«xæ.é¡ï#...ålfw.s8.y*ê.e..üíç&õí...q.·.[%å^õ#.¹äú.æ·-ñwz.¬¥íonz"
Užitečná
Upraví nastavení Internetu
Trojan:Win32/Bublik.B zakáže používání internetového serveru proxy změnou data registru.
V podklíč: HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Nastaví hodnotu: "ProxyEnable"
Vzhledem k objemu dat: " 0 "
Nastaví hodnotu: "ProxyEnable"
Vzhledem k objemu dat: " 0 "
Zakáže programy
Trojan:Win32/Bublik.B zakazuje použití těchto webových prohlížečů a vykonává Internet Explorer místo:
- Google Chrome
- Netscape Navigator
- Opera
- Safari
Monitory a krade pověření uživatele
Trojan vstřikuje kód do těchto procesů za účelem krádeže pověření uživatele:
- thebat.exe
- msimn.exe
- iexplore.exe
- explorer.exe
- myie.exe
- firefox.exe
- mozilla.exe
- avant.exe
- maxthon.exe
- OUTLOOK.EXE
- ftpte.exe
- coreftp.exe
- filezilla.exe
- TOTALCMD.EXE
- cftp.exe
- FTPVoyager.exe
- SmartFTP.exe
- WinSCP.exe
Komunikuje se vzdáleným serverem
Tento trojský kůň sbírá informace o příslušném počítači, včetně:
- Verze operačního systému
- Konfigurace sítě
- Windows Address Book
- Zajatí pověření uživatele
Trojan:Win32/Bublik.B kontakty z těchto vzdálených serverů poslat shromážděné informace a přijímat další příkazy z Útočník:
- safeoil.net
- armyclub.netquickring.net
- quickring.net
- genubajom.servegame.com
- tekiharob.sytes.net
- rivadolti.sendsmtp.com
Žádné komentáře:
Okomentovat