Encyklopedický vstup
Aktualizováno: 10.11.2011 | Zveřejněno: Mar 09, 2011 Přezdívky Není k dispozici Úroveň pohotovosti (?) Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 10.11.2011 | Zveřejněno: Mar 09, 2011 Přezdívky Není k dispozici Úroveň pohotovosti (?) Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.127.250.0 Vydáno: 18.května 2012 | Detekce původně vytvořeny: Definice: 1.103.286.0 Vydáno: Duben 22, 2011 |
Shrnutí
Trojan:Win32/EyeStye.N je trojan, který se přihlásí kláves, monitoruje internetovou aktivitu a ukradne určitý protokol pověření, pak pošle zachycených dat na vzdálený útočník na finanční prospěch. Trojan můžete stáhnout další malware, nižší webový prohlížeč bezpečnosti a používat rootkit skrýt svoji škodlivou činnost.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost těchto souborů:
c:\recycle.bin\recycle.bin.exec:\recycle.bin\config.binc:\rcss.bin\rcss.bin.exec:\rcss.bin\config.binc:\poooooooasi\<random name>.exec:\montes\montes.exec:\montes\config.binc:\system.bin\<random name>.exec:\system.bin\config.binc:\systemtools\<random name>.exeC:\recycle.bin\<random name>.exe
Technické informace (analýza)
Trojan:Win32/EyeStye.N je trojan, který se přihlásí kláves, monitoruje internetovou aktivitu a ukradne určitý protokol pověření, pak pošle zachycených dat na vzdálený útočník na finanční prospěch. Trojan můžete stáhnout další malware, nižší webový prohlížeč bezpečnosti a používat rootkit skrýt svoji škodlivou činnost.
Instalace
Trojan může být nainstalován jiným malwarem, jako je TrojanDropper:Win32/EyeStye,TrojanDownloader:Win32/Bredolab,TrojanDownloader:Win32/Waledac a Backdoor:Win32/Kelihos. Při spuštění, trojský kůň vytvoří jedinečný mutex zajistit pouze jednu instanci trojan spustí. Ve volné přírodě, jsme pozorovali Trojan pomocí následujících mutexy:
- settingstravell
- SystemBoot
- SystemSrv
- Global\__Recycle__
- Global\LateFix
- Global\LocksNA
- Global\Skype
- Global\SPYNET
- Global\SystemMo
- Global\SysMsg
- Global\system1
- Global\SystemService
- Global\TaskExp
- Global\WindowsServices
- zXeRY3a_PtW|00000000
Trojan:Win32/EyeStye.N vytvoří následující soubory na postiženém počítači:
- c:\recycle.bin\recycle.bin.exe
- c:\recycle.bin\config.bin
- c:\rcss.bin\rcss.bin.exe
- c:\rcss.bin\config.bin
- c:\poooooooasi\<random name>.exe
- c:\montes\montes.exe
- c:\montes\config.bin
- c:\system.bin\<random name>.exe
- c:\system.bin\config.bin
- c:\systemtools\<random name>.exe
- C:\recycle.bin\<random name>.exe
Poznámka: < systémové složky > odkazuje na variabilní umístění, které je dáno malware dotazem na operační systém. Výchozí umístění instalace pro systémové složky proWindows 2000 a NT je C:\Winnt\System32, A pro XP, Vista, A 7 je C:\Windows\System32.
Malware používá kód injekci, aby se bránit odhalení a odstranění. KdyTrojan:Win32/EyeStye.N spustí, může aplikovat kód do běžících procesů, včetně níže, například:
- cmd.exe
- DRWEB32.EXE
- explorer.exe
- lsass.exe
- svchost.exe
- winlogon.exe
- wmiprvse.exe
Užitečná
Používá stealth technikyWin32/EyeStye používá v uživatelském režimu, že rootkit háky následující nízkoúrovňovéAPIje skrýt své škodlivé soubory, adresář a data registru:
- NtQueryDirectoryFile
- NtVdmControl
- NtEnumerateValueKey
- NtSetInformationFile
Krade se přihlásit pověřeníKdyž uživatel navštíví některé stránky internetového bankovnictví a vloží protokol o pověření,Trojan:Win32/EyeStye.N zachycuje pověření pomocí techniky známé jako "form grabbing". Trojan háky několik systém APIje zachytit přihlašovací informace, jako jsou on-line bankovnictví pověření, data webových formulářů a kláves. Win32/EyeStye.N háky následující APIs:
- TranslateMessage
- NtResumeThread
- LdrLoadDll
- InternetCloseHandle
- HttpSendRequestA
- HttpSendRequestW
- PR_Write
- send
- CryptEncrypt
- PFXImportCertStore
- InternetQueryOptionA
- HttpOpenRequestA
- HttpAddRequestHeadersA
- HttpQueryInfoA
- InternetReadFile
- InternetQueryDataAvailable
- InternetWriteFile
- InternetReadFileExA
Do hákování APIje uvedeno výše, může trojský kůň i vložení škodlivého kódu do stávajících i nových procesů. Toto chování pomáhá Trojan sledovat zatíženíDLLa manipulovat s informací odeslaných a přijatých přes internet. Trojan pokus o odeslání zachycených dat přesHTTP POSTna vzdálený server útočníka kolekce pro finanční zisk. Ve volné přírodě, jsme pozorovali tento trojan připojení k jednomu z těchto vzdálených serverů:
- 188.72.201.213
- 195.88.191.44
- 212.150.164.200
- 213.155.31.136
- 46.166.131.160
- 46.4.73.27
- 74.50.98.160
- 80.91.191.228
- 95.168.178.220
- adbuleoncacc.info
- alunionylogen.ru
- analservice.eu
- aniani.info/cp
- bannedcellebs.biz
- bezdarniki.com
- burgermannnn7719.biz
- californication.co.cc
- domonisteriosters.info
- eyesecurr657444.net
- frandiss.ru
- fullfreepoker.eu
- gallopusik.ru
- globallaty.ru
- gone4awalk.co.cc
- heartmusicjojo.co.cc
- host-checkker.net
- lenuki.ru/forum
- musictherealsouldx.ru
- nowtorrent.ru
- raz7pi7zop.com
- strflproject.com
- totdisseny.net
- webawoke.com
- wefwef34.cz.cc
- youarelucky.ru
Trojan pokusy o přístup k přihlášení na stránkách populárních webů, jako je "facebook.com"Zachytit hesla uživatelů infikovaných systémů Při odesílání pořízených dat, může obsahovat tyto další informace.:
- Bot GUID - jedinečný identifikátor spojený s trojan
- Trojan:Win32/EyeStye.N verze
- Uživatelské jméno a čest
- Název počítače
- Sériové číslo svazku
- Proces jméno bylo spojováno s získaných dat
- Název zahnutý API funkce (např. PR_Write)
- Zajatí hrubá data
- Klíče přihlášen (úhozů)
- Další informace specifické pro národní prostředí počítače, jako jsou:
- Místní čas a časové pásmo
- Operační systém jazyk, verze a aktualizace Service Pack
- Web browser(s) používá verze
Snižuje zabezpečení prohlížečetrojan modifikuje data registru, které snižuje bezpečnostní nastaveníInternet Explorer Internet Zones a také umožňuje prohlížeč přístup ke zdrojům dat mezi doménami.
V následující podklíče:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
Soupravy value: "1409"
Údajů: "3"
V následující podklíče:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\4
Nastaví hodnotu: "1406"
S údaji: "0"
Trojan:Win32/Eystye.N je k následujícím změnám v registru zakázat SmartScreen Filter v Internet Explorer:
V podklíč: HKCU\Software\Microsoft\Internet Explorer\PhishingFilterNastaví hodnotu: "EnabledV8"
S údaje: "0"
S údaje: "0"
Trojan modifikuje další data registru zajistit, aby aplikace Internet Explorer spustí v režimu online:
V podklíč: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet SettingsNastaví hodnotu: "GlobalUserOffline"
S údaje: "0"
S údaje: "0"
Stáhnout aktualizace a libovolné soubory
Trojan:Win32/EyeStye.N se pokusí připojit k jedné z výše uvedených serverů a čekají na příkazy ze vzdáleného útočníka. Příkazy mohou zahrnovat pokyn Trojan ke stažení libovolné soubory, které mohou zahrnovat aktualizace Trojan. Úspěšně stažené spustitelné soubory jsou uloženy jako následující a spusťte:
Trojan:Win32/EyeStye.N se pokusí připojit k jedné z výše uvedených serverů a čekají na příkazy ze vzdáleného útočníka. Příkazy mohou zahrnovat pokyn Trojan ke stažení libovolné soubory, které mohou zahrnovat aktualizace Trojan. Úspěšně stažené spustitelné soubory jsou uloženy jako následující a spusťte:
<Current directory>\<file name>.exe\<file name>upd.exe
Trojan:Win32/EyeStye.N může také aktualizovat konfigurační soubor uložený v ZIP Formát archivního souboru jako následující:
<Current directory>\<file name>.exe \config.bin
Trojan komunikuje přes mutexy s názvem "__<MUTEXNAME>_UNINSTALL__"A"__<MUTEX NAME>_RELOADCFG__" poučit existující případy škodlivého kódu v paměti "reload data""uninstall"(A další akce) z nového konfiguračního souboru. To umožňuje Trojan a související komponenty přístup k novým vzdálený server.
Žádné komentáře:
Okomentovat