Analys¨¦ par: Michael Cabel   
 Plate-forme:

Windows 2000, XP, Server 2003

 Overall Risk:
 reportedInfection:
 System Impact Rating: :
 Information Exposure Rating::
Faible
Medium
?±ô±ð±¹¨¦
Critique

  • Type de grayware:
    Spyware

  • Destructif:
    Non

  • Chiffrement:
    Oui

  • In the wild::
    Oui

  Overview

Wird m?glicherweise von anderer Malware eingeschleust. Wird m?glicherweise unwissentlich von einem Benutzer beim Besuch b?sartiger Websites heruntergeladen.

Erstellt Ordner und legt dort Dateien von sich ab. Wird m?glicherweise in folgende Prozesse injiziert, die im Arbeitsspeicher ausgef¨¹hrt werden:

?ndert Zoneneinstellungen von Internet Explorer.

Versucht, Daten zu entwenden, wie z. B. Benutzernamen und Kennw?rter, die beim Anmelden auf Websites von Banken oder anderen Finanzdienstleistern verwendet werden.

  D¨¦tails techniques

File size: 122,368 bytes
File type: PE
Memory resident: Oui
Date de r¨¦ception des premiers ¨¦chantillons: 20 septembre 2010
Charge malveillante: Modifies the Internet Explorer Zone Settings, Downloads files

?bertragungsdetails

Wird m?glicherweise von anderer Malware eingeschleust.

Wird m?glicherweise unwissentlich von einem Benutzer beim Besuch b?sartiger Websites heruntergeladen.

Wird m?glicherweise von den folgenden externen Sites heruntergeladen:

  • http://{BLOCKED}khfts.com/bs/sas.exe

Installation

Schleust die folgenden Dateien ein:

  • %Application Data%\{random folder 1}\{random file name}.exe - copy of itself
  • %Application Data%\{random folder 2}\{random file name}.{3 random alpha character extension name} - encrypted file

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' f¨¹r den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Erstellt Ordner und legt dort Dateien von sich ab.

Wird in die folgenden Prozesse injiziert, die im Arbeitsspeicher ausgef¨¹hrt werden:

  • ctfmon.exe
  • dwm.exe
  • explorer.exe
  • rdpclip.exe
  • taskeng.exe
  • taskhost.exe
  • wscntfy.exe

Wird m?glicherweise in folgende Prozesse injiziert, die im Arbeitsspeicher ausgef¨¹hrt werden:

Autostart-Technik

F¨¹gt folgende Registrierungseintr?ge hinzu, um bei jedem Systemstart automatisch ausgef¨¹hrt zu werden.

HKEY_CURRENT_USER
{GUID} = {malware path and file name}

Andere System?nderungen

F¨¹gt die folgenden Registrierungseintr?ge als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER
CleanCookies = 0

HKEY_LOCAL_MACHINE
%Windows%\\\\EXPLORER.EXE = %Windows%\\EXPLORER.EXE:*:Enabled:Windows Explorer

?nderung der Startseite von Webbrowser und Suchseite

?ndert Zoneneinstellungen von Internet Explorer.

Datendiebstahl

?berwacht auf dem betroffenen System die Aktivit?ten von Internet Explorer (IE), insbesondere die Adressleiste. Erstellt eine rechtm??ige Website mit einer gef?lschten Anmeldeseite, wenn ein Benutzer Banking-Websites mit den folgenden Zeichenfolgen in der Adressleiste und/oder Titelleiste besucht:

  • !*.microsoft.com/*
  • !http://*myspace.com*
  • !http://*odnoklassniki.ru/*
  • !http://vkontakte.ru/*
  • @https://banking.postbank.de/app/finanzstatus*
  • @https://banking.postbank.de/app/ueberweisung*
  • @https://banking.postbank.de/app/wel*
  • @https://banking.*.de/cgi/*
  • @https://banking.*.de/portal/portal/*
  • https://banking.dkb.de/dkb/-*
  • https://www.commerzbanking.de/P-Portal1/XML/*
  • https://www.commerzbanking.de/P-Portal1/XML/ifilportal/js_bb/util.js
  • https://www.commerzbanking.de/P-Portal1/XML/ifilportal/js_bb/util.js
  • https://kunde.comdirect.de/lp/wt/login*
  • https://kunde.comdirect.de/tx/brokerage/common/*
  • https://kunde.comdirect.de/ccf/deprecated/cdb/js/jsstatic.js
  • https://www.dab-bank.de*
  • https://meine.deutsche-bank.de/trxm/db/*DisplayFinancialOverview*
  • https://meine.deutsche-bank.de/trxm/db/*ManageTAN*
  • https://www.targobank.de/*/online-banking/login.cgi
  • https://www.targobank.de/*/banque/situation_financiere.cgi
  • https://banking.postbank.de/app/finanzstatus.init.do*
  • https://banking.postbank.de/app/static/js/script.js
  • https://banking.postbank.de/app/finanzstatus.init.do*
  • https://banking.postbank.de/app/verwaltung.init.do*
  • https://banking.postbank.de/app/tan.historie.*.do*?viewmode=ta*

Greift auf die folgende Site zu, um die eigene Konfigurationsdatei herunterzuladen:

  • http://{BLOCKED}khfts.com/bs/nal.bin

Die heruntergeladene Datei enth?lt Informationen, wo die Malware eine aktualisierte Kopie von sich selbst herunterladen kann und wohin die entwendeten Daten gesendet werden sollen.

Versucht, Daten von den folgenden Banken und/oder anderen Geldinstituten zu entwenden:

  • ANZ
  • Comdirect
  • DAB
  • Deutsche Bank
  • Microsoft
  • Myspace
  • Odnoklassniki
  • Postbank
  • Sparkasse
  • Vkontakte

Einschleusungspunkte

Entwendete Daten werden auf die folgenden Websites hochgeladen:

  • http://{BLOCKED}khfts.com/bs/lvv.php

Informationen ¨¹ber Varianten

Verf¨¹gt ¨¹ber folgende MD5-Hash-Werte:

  • 57ac5d08e61d1a1bb48b2dee9b1986c6

Verf¨¹gt ¨¹ber folgende SHA1-Hash-Werte:

  • 27df47472f30003eee43ae2c603d07321a78d8fb

  Solutions

Moteur de scan minimum: 8.900

Step 1

F¨¹r Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt. Achten Sie auf Dateien, die als TSPY_ZBOT.ABA entdeckt werden

Step 3

Im abgesicherten Modus neu starten

[ learnMore ]

Step 4

Diesen Registrierungswert l?schen

[ learnMore ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Privacy
    • CleanCookies = 0
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • {GUID} = {malware path and file name}
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    • %Windows%\EXPLORER.EXE = %Windows%\EXPLORER.EXE:*:Enabled:Windows Explorer

Step 5

Sicherheitseinstellungen f¨¹r das Internet wiederherstellen

[ learnMore ]

Step 6

F¨¹hren Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt nach Dateien, die als TSPY_ZBOT.ABA entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.


Participez ¨¤ notre enqu¨ºte!