Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

Backdoor.Padodor.w - kradnie loginy, hasła i numery kart kredytowych

Jest to backdoor stworzony przez rosyjską grupę hakerów HangUp Team. Znany jest także jako TrojanSpy.Win32.Qukart. Szkodnik kradnie z zainfekowanych systemów informacje takie jak: numery kart kredytowych, loginy, hasła itp. Plik backdoora ma rozmiar 51 712 bajtów. Jest zaszyfrowany i polimorficzny. Backdoor został wykryty 25 czerwca 2004.

Instalacja w systemie

Po uruchomieniu szkodnik kopiuje się do foldera systemowego Windows z losową nazwą (na końcu nazwy znajduje się liczba 32, przykładowo amackg32.exe). Dodatkowo szkodnik rozpakowuje do systemowego foldera Windows mały plik DLL (jego nazwa jest konstruowana na identycznych zasadach - przykładowo bnldnl32.dll). Plik DLL działa jako element uruchamiający moduł EXE.

Następnie backdoor tworzy kilka kluczy rejestru:

[HKCR\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32]
@ = "%Systemowy folder Windows%\.dll"
"ThreadingModel" = "Apartment"

W rezultacie plik DLL jest ładowany wraz z każdym startem systemu Windows.

Szkodnik tworzy także dodatkowe klucze:

[HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Web Event Logger" = "{79FEACFF-FFCE-815E-A900-316290B5B738}"

W celu oznaczenia swojej obecności w zainfekowanym systemie backdoor tworzy unikatowy identyfikator KingKarton_10.

Szkodnik tworzy w folderze systemowym plik surf.dat i zapisuje w nim nazwę komputera i użytkownika.

Kradzież haseł i numerów kart kredytowych

Jeden z wątków backdoora przez cały czas szuka następujących tekstów w oknach przeglądarki Internet Explorer:

.paypal.com
signin.ebay.
.earthlink.
.juno.com
my.juno.com/s/
webmail.juno.com
.yahoo.com

oraz

Sign In
Log In

Po znalezieniu jednego z tych tekstów szkodnik próbuje przechwycić wpisywany przez użytkownika login oraz hasło i zapisuje te dane w pliku DNKK.DLL znajdującym się w folderze systemowym Windows. Następnie backdoor wyświetla fałszywy formularz zachęcający użytkownika do wpisania numeru karty kredytowej, daty utraty jej ważności, kodu CVV2 oraz ATM PIN. Zgromadzone informacje zapisywane są w pliku KK32.DLL znajdującym się w folderze systemowym Windows.

Szkodnik tworzy wątek, który okresowo tworzy lub zmienia następujące klucze rejestru:

  • [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\]
    "1601" =
  • [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
    "GlobalUserOffline" =
  • [HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProcess]
    "BrowseNewProcess" = "yes"

Następnie backdoor tworzy plik HTML, w którym przechowywane są skradzione dane, otwiera go przy użyciu Internet Explorera i za pośrednictwem małego skryptu wysyła do jednej z poniższych lokalizacji internetowych:

http://crutop.nu/index.php
http://crutop.ru/index.php
http://mazafaka.ru/index.php
http://color-bank.ru/index.php
http://asechka.ru/index.php
http://trojan.ru/index.php
http://fuck.ru/index.php
http://goldensand.ru/index.php
http://filesearch.ru/index.php
http://devx.nm.ru/index.php
http://ros-neftbank.ru/index.php
http://lovingod.host.sk/index.php
http://www.redline.ru/index.php
http://cvv.ru/index.php
http://hackers.lv/index.php
http://fethard.biz/index.php

Po wysłaniu informacji szkodnik czeka na odpowiedź serwera i jeżeli ma ona postać ciągu X-okRecv11 plik HTML jest usuwany, a okno przeglądarki zamykane.

Szkodnik tworzy także dodatkowy wątek, który okresowo uzyskuje dostęp do następujących witryn:

http://ldark.nm.ru/index.htm
http://gaz-prom.ru/index.htm
http://promo.ru/index.htm
http://potleaf.chat.ru/index.htm
http://kadet.ru/index.htm
http://cvv.ru/index.htm
http://crutop.nu/index.htm
http://crutop.ru/index.htm
http://mazafaka.ru/index.htm
http://xware.cjb.net/index.htm
http://konfiskat.org/index.htm
http://parex-bank.ru/index.htm
http://kidos-bank.ru/index.htm
http://kavkaz.ru/index.htm
http://ldark.nm.ru/index.htm
http://fethard.biz/index.htm

Przed nawiązaniem połączenia backdoor tworzy plik HTML zawierający specjalny skrypt. Jeżeli plik index.htm żądanej strony zawiera tekst X-okRecv11 szkodnik przerywa połączenie i usuwa utworzony plik HTML. W przeciwnym wypadku backdoor przegląda tymczasowe pliki internetowe i dodaje ostatnio używany plik HTML do pliku KK32.VXD znajdującego się w tymczasowym folderze Windows.

Podczas wykonywania powyższych operacji szkodnik tworzy nowy, niewidzialny dla użytkownika pulpit o nazwie blind_user i otwiera w nim okno przeglądarki Internet Explorer.



 2004-07-02  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych