Bezpečné PC: Trojan:Win32/EyeStye.N

Encyklopedický vstup
Aktualizováno: 10.11.2011 | Zveřejněno: Mar 09, 2011 Přezdívky Není k dispozici Úroveň pohotovosti (?) Těžká

Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.

Detekce poslední aktualizace:
Definice: 1.127.250.0
Vydáno: 18.května 2012

Detekce původně vytvořeny:
Definice: 1.103.286.0
Vydáno: Duben 22, 2011

Na této stránce

Shrnutí záložky | Příznaky | Technické informace | Prevence | zotavení

Shrnutí

Trojan:Win32/EyeStye.N je trojan, který se přihlásí kláves, monitoruje internetovou aktivitu a ukradne určitý protokol pověření, pak pošle zachycených dat na vzdálený útočník na finanční prospěch. Trojan můžete stáhnout další malware, nižší webový prohlížeč bezpečnosti a používat rootkit skrýt svoji škodlivou činnost.

Top

Příznaky

Systémové změny

Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:

Přítomnost těchto souborů:

c:\recycle.bin\recycle.bin.exec:\recycle.bin\config.binc:\rcss.bin\rcss.bin.exec:\rcss.bin\config.binc:\poooooooasi\<random name>.exec:\montes\montes.exec:\montes\config.binc:\system.bin\<random name>.exec:\system.bin\config.binc:\systemtools\<random name>.exeC:\recycle.bin\<random name>.exe

Top

Technické informace (analýza)

Instalace

Trojan může být nainstalován jiným malwarem, jako je TrojanDropper:Win32/EyeStye,TrojanDownloader:Win32/Bredolab,TrojanDownloader:Win32/Waledac a Backdoor:Win32/Kelihos. Při spuštění, trojský kůň vytvoří jedinečný mutex zajistit pouze jednu instanci trojan spustí. Ve volné přírodě, jsme pozorovali Trojan pomocí následujících mutexy:

settingstravell
SystemBoot
SystemSrv
Global\__Recycle__
Global\LateFix
Global\LocksNA
Global\Skype
Global\SPYNET
Global\SystemMo
Global\SysMsg
Global\system1
Global\SystemService
Global\TaskExp
Global\WindowsServices
zXeRY3a_PtW|00000000

Trojan:Win32/EyeStye.N vytvoří následující soubory na postiženém počítači:

c:\recycle.bin\recycle.bin.exe
c:\recycle.bin\config.bin
c:\rcss.bin\rcss.bin.exe
c:\rcss.bin\config.bin
c:\poooooooasi\<random name>.exe
c:\montes\montes.exe
c:\montes\config.bin
c:\system.bin\<random name>.exe
c:\system.bin\config.bin
c:\systemtools\<random name>.exe
C:\recycle.bin\<random name>.exe

Poznámka: < systémové složky > odkazuje na variabilní umístění, které je dáno malware dotazem na operační systém. Výchozí umístění instalace pro systémové složky proWindows 2000 a NT je C:\Winnt\System32, A pro XP, Vista, A 7 je C:\Windows\System32.

Malware používá kód injekci, aby se bránit odhalení a odstranění. KdyTrojan:Win32/EyeStye.N spustí, může aplikovat kód do běžících procesů, včetně níže, například:

cmd.exe
DRWEB32.EXE
explorer.exe
lsass.exe
svchost.exe
winlogon.exe
wmiprvse.exe

Užitečná

Používá stealth technikyWin32/EyeStye používá v uživatelském režimu, že rootkit háky následující nízkoúrovňovéAPIje skrýt své škodlivé soubory, adresář a data registru:

NtQueryDirectoryFile
NtVdmControl
NtEnumerateValueKey
NtSetInformationFile

Krade se přihlásit pověřeníKdyž uživatel navštíví některé stránky internetového bankovnictví a vloží protokol o pověření,Trojan:Win32/EyeStye.N zachycuje pověření pomocí techniky známé jako "form grabbing". Trojan háky několik systém APIje zachytit přihlašovací informace, jako jsou on-line bankovnictví pověření, data webových formulářů a kláves. Win32/EyeStye.N háky následující APIs:

TranslateMessage
NtResumeThread
LdrLoadDll
InternetCloseHandle
HttpSendRequestA
HttpSendRequestW
PR_Write
send
CryptEncrypt
PFXImportCertStore
InternetQueryOptionA
HttpOpenRequestA
HttpAddRequestHeadersA
HttpQueryInfoA
InternetReadFile
InternetQueryDataAvailable
InternetWriteFile
InternetReadFileExA

Do hákování APIje uvedeno výše, může trojský kůň i vložení škodlivého kódu do stávajících i nových procesů. Toto chování pomáhá Trojan sledovat zatíženíDLLa manipulovat s informací odeslaných a přijatých přes internet. Trojan pokus o odeslání zachycených dat přesHTTP POSTna vzdálený server útočníka kolekce pro finanční zisk. Ve volné přírodě, jsme pozorovali tento trojan připojení k jednomu z těchto vzdálených serverů:

188.72.201.213
195.88.191.44
212.150.164.200
213.155.31.136
46.166.131.160
46.4.73.27
74.50.98.160
80.91.191.228
95.168.178.220
adbuleoncacc.info
alunionylogen.ru
analservice.eu
aniani.info/cp
bannedcellebs.biz
bezdarniki.com
burgermannnn7719.biz
californication.co.cc
domonisteriosters.info
eyesecurr657444.net
frandiss.ru
fullfreepoker.eu
gallopusik.ru
globallaty.ru
gone4awalk.co.cc
heartmusicjojo.co.cc
host-checkker.net
lenuki.ru/forum
musictherealsouldx.ru
nowtorrent.ru
raz7pi7zop.com
strflproject.com
totdisseny.net
webawoke.com
wefwef34.cz.cc
youarelucky.ru

Trojan pokusy o přístup k přihlášení na stránkách populárních webů, jako je "facebook.com"Zachytit hesla uživatelů infikovaných systémů Při odesílání pořízených dat, může obsahovat tyto další informace.:

Bot GUID - jedinečný identifikátor spojený s trojan
Trojan:Win32/EyeStye.N verze
Uživatelské jméno a čest
Název počítače
Sériové číslo svazku
Proces jméno bylo spojováno s získaných dat
Název zahnutý API funkce (např. PR_Write)
Zajatí hrubá data
Klíče přihlášen (úhozů)
Další informace specifické pro národní prostředí počítače, jako jsou:

Místní čas a časové pásmo
Operační systém jazyk, verze a aktualizace Service Pack
Web browser(s) používá verze

Snižuje zabezpečení prohlížečetrojan modifikuje data registru, které snižuje bezpečnostní nastaveníInternet Explorer Internet Zones a také umožňuje prohlížeč přístup ke zdrojům dat mezi doménami.

V následující podklíče:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4

Soupravy value: "1409"

Údajů: "3"

V následující podklíče:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\4

Nastaví hodnotu: "1406"

S údaji: "0"

Trojan:Win32/Eystye.N je k následujícím změnám v registru zakázat SmartScreen Filter v Internet Explorer:

V podklíč: HKCU\Software\Microsoft\Internet Explorer\PhishingFilterNastaví hodnotu: "EnabledV8"
S údaje: "0"

Trojan modifikuje další data registru zajistit, aby aplikace Internet Explorer spustí v režimu online:

V podklíč: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet SettingsNastaví hodnotu: "GlobalUserOffline"
S údaje: "0"

Stáhnout aktualizace a libovolné soubory
Trojan:Win32/EyeStye.N se pokusí připojit k jedné z výše uvedených serverů a čekají na příkazy ze vzdáleného útočníka. Příkazy mohou zahrnovat pokyn Trojan ke stažení libovolné soubory, které mohou zahrnovat aktualizace Trojan. Úspěšně stažené spustitelné soubory jsou uloženy jako následující a spusťte:

<Current directory>\<file name>.exe\<file name>upd.exe

Trojan:Win32/EyeStye.N může také aktualizovat konfigurační soubor uložený v ZIP Formát archivního souboru jako následující:

<Current directory>\<file name>.exe \config.bin

Trojan komunikuje přes mutexy s názvem "__<MUTEXNAME>_UNINSTALL__"A"__<MUTEX NAME>_RELOADCFG__" poučit existující případy škodlivého kódu v paměti "reload data""uninstall"(A další akce) z nového konfiguračního souboru. To umožňuje Trojan a související komponenty přístup k novým vzdálený server.

Bezpečné PC

pondělí 21. května 2012

Trojan:Win32/EyeStye.N