Nowy wirus

Pojawił sie nowy wirus - Padodor.w. Kradnie loginy, hasła i numery kart kredytowych. Jest to backdoor stworzony przez rosyjską grupę hakerów HangUp Team. Znany jest także jako TrojanSpy.Win32.Qukart. Szkodnik kradnie z zainfekowanych systemów informacje takie jak: numery kart kredytowych, loginy, hasła itp. Plik backdoora ma rozmiar 51 712 bajtów. Jest zaszyfrowany i polimorficzny. Backdoor został wykryty 25 czerwca 2004.

Po uruchomieniu szkodnik kopiuje się do foldera systemowego Windows z losową nazwą (na końcu nazwy znajduje się liczba 32, przykładowo amackg32.exe). Dodatkowo szkodnik rozpakowuje do systemowego foldera Windows mały plik DLL (jego nazwa jest konstruowana na identycznych zasadach - przykładowo bnldnl32.dll). Plik DLL działa jako element uruchamiający moduł EXE.

Reklama

Następnie backdoor tworzy kilka kluczy rejestru:

[HKCR\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32]

@ = "%Systemowy folder Windows%\.dll"

"ThreadingModel" = "Apartment"

W rezultacie plik DLL jest ładowany wraz z każdym startem systemu Windows.

Szkodnik tworzy także dodatkowe klucze:

[HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"Web Event Logger" = "{79FEACFF-FFCE-815E-A900-316290B5B738}"

W celu oznaczenia swojej obecności w zainfekowanym systemie backdoor tworzy unikatowy identyfikator KingKarton_10.

Szkodnik tworzy w folderze systemowym plik surf.dat i zapisuje w nim nazwę komputera i użytkownika.

Kradzież haseł i numerów kart kredytowych

Jeden z wątków backdoora przez cały czas szuka następujących tekstów w oknach przeglądarki Internet Explorer:

.paypal.com

signin.ebay.

.earthlink.

.juno.com

my.juno.com/s/

webmail.juno.com

.yahoo.com

oraz

Sign In

Log In

Po znalezieniu jednego z tych tekstów szkodnik próbuje przechwycić wpisywany przez użytkownika login oraz hasło i zapisuje te dane w pliku DNKK.DLL znajdującym się w folderze systemowym Windows. Następnie backdoor wyświetla fałszywy formularz zachęcający użytkownika do wpisania numeru karty kredytowej, daty utraty jej ważności, kodu CVV2 oraz ATM PIN. Zgromadzone informacje zapisywane są w pliku KK32.DLL znajdującym się w folderze systemowym Windows.

Szkodnik tworzy wątek, który okresowo tworzy lub zmienia następujące klucze rejestru:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\]

"1601" =

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]

"GlobalUserOffline" =

[HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProcess]

"BrowseNewProcess" = "yes"

Następnie backdoor tworzy plik HTML, w którym przechowywane są skradzione dane, otwiera go przy użyciu Internet Explorera i za pośrednictwem małego skryptu wysyła na jeden z kilku rosyjskich adresów internetowych

Po wysłaniu informacji szkodnik czeka na odpowiedź serwera i jeżeli ma ona postać ciągu X-okRecv11 plik HTML jest usuwany, a okno przeglądarki zamykane.

Podczas wykonywania powyższych operacji szkodnik tworzy nowy, niewidzialny dla użytkownika pulpit o nazwie blind_user i otwiera w nim okno przeglądarki Internet Explorer.

Dowiedz się więcej na temat: hasło | Microsoft | internet | wirus | plik

Reklama

Najlepsze tematy

Reklama

Strona główna INTERIA.PL

Polecamy

Rekomendacje