A Zbot.SU trójai - hasonlóan az elődeihez - igen komoly fegyverarzenállal rendelkezik ahhoz, hogy különböző bizalmas adatokat tudjon zsákmányolni, majd kiszivárogtatni a számítógépekről. A trójai képes az Internet Explorerben, illetve a Firefoxban megadott bejelentkezési adatok összegyűjtésére, de különféle Windows-os API-kat is felhasznál e célból. Mindezek mellett különböző, FTP-kliensprogramokból is képes hitelesítő adatok megszerzésére.
Az Isidor Biztonsági Központ jelentése felhívta a figyelmet arra, hogy a Zbot.SU, amellett, hogy adatlopásra specializálódott, tulajdonképpen teljes mértékben képes kiszolgáltatni a PC-ket az internetes támadásokkal szemben. A rendszereken hátsó kaput nyit, amelyen keresztül a támadók többek között az alábbi műveleteket hajthatják végre:
- URL-ek blokkolása
- programok futtatása
- a számítógép újraindítása vagy leállítása
- bizalmas adatok kiszivárogtatása (feltöltése távoli szerverekre)
- fájlok keresése és törlése
- az Internet Explorer beállításainak módosítása
- tanúsítványokkal való manipulációk
- a trójai frissítése vagy eltávolítása.
Amikor a Zbot.SU trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%APPDATA%\[véletlenszerű karakterek]\[véletlenszerű karakterek].exe
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[GIUD]="%APPDATA%\[véletlenszerű karakterek]\[véletlenszerű karakterek].exe"
3. Megfertőzi a következő folyamatokat:
ctfmon.exe
explorer.exe
rdpclip.exe
taskeng.exe
taskhost.exe
wscntfy.exe
Payload
4. Bejelentkezési adatokat gyűjt az Internet Explorerből és a Firefoxból.
5. FTP-hez tartozó hitelesítő adatokat gyűjt az alábbi alkalmazásokból:
CoreFTP
FAR/FAR2
FileZilla
FlashFXP
FTP Commander
SmartFTP
Total Commander
winscp
ws_ftp
6. Tanúsítványokat és Internet Explorer által létrehozott cookie-kat gyűjt össze.
7. Az alábbi API-k révén bizalmas adatokhoz igyekszik hozzáférni:
GetFileAttributesExW
HttpSendRequestW
HttpSendRequestA
HttpSendRequestExW
HttpSendRequestExA
InternetCloseHandle
InternetReadFile
InternetReadFileExA
InternetQueryDataAvailable
HttpQueryInfoA
closesocket
send
WSASend
TranslateMessage
GetClipboardData
PFXImportCertStore
8. Folyamatosan naplózza a billentyűleütéseket, és mentést készít a képernyőn megjelenő tartalmakról.
9. Módosítja az Internet Explorer beállításait az alábbiak szerint:
HKCU\Software\Microsoft\Internet Explorer\PhishingFilter\Enabled="0"
HKCU\Software\Microsoft\Internet Explorer\PhishingFilter\EnabledV8="0"
HKCU\Software\Microsoft\Internet Explorer\Privacy\CleanCookies="0"
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609="0"
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1406="0"
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609="0"
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1406="0"
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1406="0"
10. Nyit egy hátsó kaput a fertőzött rendszeren.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.