16 lipca 2003

TrojanProxy.Win32. Webber - kradnie hasła

Jest to koń trojański rozprzestrzeniający się za pośrednictwem poczty elektronicznej, działający w systemach Win32. Instaluje w infekowanym systemie ukryty serwer proxy i wysyła do hakera adres IP zaatakowanego komputera wraz z zapisanymi na nim hasłami. Ponadto szkodnik ma możliwość pobierania z określonych adresów URL plików EXE oraz instalowania ich w zainfekowanym systemie.

Wiadomość e-mail zawierająca trojana zawiera załącznik o nazwie web.da.us.citi.heloc.pif, temat Re: Your credit application oraz następującą treść:

Dear sir,

Thank you for your online application for a Citibank Home Equity Loan.
In order to be approved for any loan application we pull your Credit Profile and Chexsystems information, which didn't satisfy our minimum needs.
Consequently, we regret to say that we cannot approve you for Citibank Home Equity Loan at this time.

*Attached are copy of your Credit Profile and Your Application that you submitted with us. Please take a close look at it, you will receive hard copy by mail withing next few days.

Instalacja

Gdy użytkownik uruchomi załącznik zainfekowanej wiadomości e-mail rozpoczyna się pobieranie i aktywowanie głównego modułu wykonywalnego konia trojańskiego, który z kolei tworzy pomocniczy plik DLL. Zatem trojan składa się z następujących elementów:

  • załącznik wiadomości e-mail pobierający kod szkodnika (plik EXE o rozmiarze 5664 bajtów),
  • kod szkodnika (plik EXE o rozmiarze 39140 bajtów),
  • moduł pomocniczy (plik DLL o rozmiarze 5633 bajtów).

Główny moduł szkodnika umieszcza własną kopię z losową nazwą w folderze systemowym Windows i zapisuje w tym samym miejscu moduł DLL (również z losową nazwą).

Trojan nie tworzy kluczy auto-run w rejestrze systemowym i nie modyfikuje plików INI systemy Windows. W celu zautomatyzowania własnej aktywacji trojan modyfikuje następujące klucze rejestru:

HKCR\CLSID\
{79FA9088-19CE-715D-D85A-216290C5B738}
InProcServer32 = %nazwa modułu DLL trojana%
ThreadingModel = Apartment

HKLM\Software\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad
Web Event Logger =
{79FA9088-19CE-715D-D85A-216290C5B738}

W kodzie trojana można zapisany jest następujący tekst:

Webber10