Mô tả về mẫu Trojan-Banker.Win32.Banz.cri

Mô tả về mẫu Trojan-Banker.Win32.Banz.cri.Chúng được xếp vào hàng Trojan-Banker – những chương trình được tạo ra để đánh cắp cá thông tin, dữ liệu cá nhân có liên quan đến các hệ thống ngân hàng trực tuyến, thương mại điện tử, e-payment hoặc thẻ thanh toán. Những dữ liệu được đánh cắp này sau đó sẽ được chuyển tiếp về phía tin tặc đứng đằng sau điều khiển Trojan. Hình thức chuyển tiếp dữ liệu này có thể thông qua email, FTP, website …Những dấu hiệu đầu tiên được Kaspersky phát hiện vào ngày 9/6/2010 lúc 20:29 GMT, và...
Nội dung trích xuất từ tài liệu:
Mô tả về mẫu Trojan-Banker.Win32.Banz.criMô tả về mẫu Trojan-Banker.Win32.Banz.criChúng được xếp vào hàng Trojan-Banker – những chương trình đượctạo ra để đánh cắp cá thông tin, dữ liệu cá nhân có liên quan đến các hệthống ngân hàng trực tuyến, thương mại điện tử, e-payment hoặc thẻthanh toán. Những dữ liệu được đánh cắp này sau đó sẽ được chuyển tiếp vềphía tin tặc đứng đằng sau điều khiển Trojan. Hình thức chuyển tiếp dữ liệunày có thể thông qua email, FTP, website …Những dấu hiệu đầu tiên được Kaspersky phát hiện vào ngày 9/6/2010 lúc20:29 GMT, và chúng bắt đầu hoạt động vào ngày hôm sau, 10/6/2010 -02:20 GMT, những thông tin phân tích chi tiết được chính thức đăng tải vàongày 16/06/2010 - 12:17 GMT.Phân tích chi tiết về mặt kỹ thuậtVề bản chất, chúng được tạo ra để lấy trộm thông tin cá nhân, dữ liệu các tàikhoản ngân hàng, hệ thống thanh toán trực tuyến, các hệ thống thương mạiđiện tử, thẻ thanh toán … bắt nguồn từ những hệ thống ngân hàng của Brazil.Chúng là những file Windows PE với phần đuôi mở rộng EXE, dung lượngkhoảng 942047 byte và được viết bằng ngôn ngữ lập trình Delphi.Nguyên tắc đầu tiên của virus là tự động kích hoạt khởi động cùng hệ thống.Với Trojan-Banker.Win32.Banz.cri cũng không có gì khác, chúng tạo ra khóaRegistry sau:[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]wscntfx = %filepath%với %filepath% là đường dẫn đầy đủ của file kích hoạt chính. Bên cạnh đó,chúng còn can thiệp vào chỉnh sửa các giá trị của khóa Registry sau:[HKÑUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsUserAgentPost Platform] Embedded Web Browser from: http://bsalsa.com/ = Xóa các khóa Registry sau:[ HKEY_CLASSES_ROOTCLSID{2E3C3651-B19C-4DD9-A979-901EC3E930AF} ][ HKEY_CLASSES_ROOTCLSID{3F888695-9B41-4B29-9F44-6B560E464A16} ][ HKEY_CLASSES_ROOTCLSID{9EC30204-384D-11D3-9CA3-00A024F0AF03} ]Quá trình PayloadKhi được kích hoạt, chúng sẽ tự động tải file cấu hình từ:http://juliana9090v.dominiotemporario.com/configex.txtVà so sánh với tình trạng hiện thời của máy tính nạn nhân, đồng thời thựchiện các thay đổi phù hợp. Sau đó, chúng sẽ kiểm soát tất cả các trình duyệtđang hoạt động. Khi người dùng truy cập vào 1 địa chỉ xác định nào đó,chúng lập tức thu thập tất cả các thông tin người sử dụng khai báo và điềnvào các form có sẵn trên website đó. Chúng đặt biệt để ý đến 2 địa chỉ sau:www.bradesco.com.brhttps://www2.realsecureweb.com.brBên cạnh đó, chúng còn lưu trữ những dữ liệu, con số có liên quan đến thẻ tíndụng của họ trên các website khác nhau. Và những dữ liệu này được chuyểnđến địa chỉ hòm thư của tin tặc hoặc các email chỉ định sẵn trong file cấuhình - được tải về lúc trước.Chúng sử dụng server SMTP để gửi email:smtp.tutopia.com.br