Kaspersky Threats

Kategorie

Plattform

Beschreibung

Technische Details

Dies ist das Win95 / 98 / ME Trojaner-Programm, das Xpresso Financial Information Desktop angreift (siehe http://www.spxpresso.com). Der Trojaner beabsichtigt, Finanztransaktionen zu modifizieren, wahrscheinlich, um diese Transaktion auf das Bankkonto des Hackers weiterzuleiten. Der Trojaner macht dies, indem er die Java-Laufzeitbibliothek beeinflusst, die vom Xpresso-Client verwendet wird, der in Java geschrieben ist.

Der Trojaner wurde nicht in virus-lab getestet, daher können wir keine Weiterleitung von Geldüberweisungen an Hacker oder andere Konten garantieren. Tatsache ist, dass der Trojaner Transaktionen abfängt und Daten in Transaktionssteuerungsblöcken ändert.

Der Trojaner wird an Win32 PE EXE-Dateien angehängt. Der Trojaner-Code wird am Ende der PE-EXE-Dateien in virusartiger Weise platziert. Wenn die betroffene Datei ausgeführt wird, erhält der Trojanercode die Kontrolle und installiert die Haupttrojaner-Komponente im System. Das Steuerelement wird dann an die Host-Datei zurückgegeben.

Der Trojaner kann andere PE EXE-Dateien nicht selbst beeinflussen. Es wurde eine spezielle "Trojan Trojan" -Komponente (Kommandozeilen-Win32-Anwendung) gefunden, die Trojaner-Code an Opfer-PE-EXE-Dateien auf Anfrage des Benutzers anschloss.

Bei der Installation in das System extrahiert der Trojaner seine Code-VxD-Komponente (Haupt-Trojaner-Komponente) und schreibt sie in die neu erstellte MSREBOOT.VXD-Datei in das Windows-Systemverzeichnis. Dieser VxD wird dann im Registrierungsschlüssel "VxD Services" registriert.

Dort sind auch mehr Schlüssel angelegt:

HKLMSystemCurrentControlSetServicesVxDREBOOT
RebootData = [Null-Länge Daten]
Start = 00
StaticVxD = "* REBOOT, MSREBOOT.VXD"

Der erste Schlüssel gibt das Datum an, an dem sich der Trojaner selbst vom System deinstalliert. Der Trojaner löscht dann seine VXD-Datei mit Nullen und löscht dann diese Datei.

Der zweite Schlüssel ist unbekannt.

Der dritte Schlüssel ist der Registrierungsschlüssel auto-load, der Windows dazu zwingt, die VXD-Datei zu laden und zu aktivieren, wenn Windows gestartet wird.

Wenn die Trojaner-VXD-Datei aktiviert ist, überwacht die Trojaner-Hauptprozedur den Dateieröffnungsprozess und sucht nach der Java-Laufzeitbibliothek JRT3230.DLL. Der Trojaner überspringt dann das Laden dieser Bibliothek, wartet, wenn das Laden beendet ist, und hakt die Java-Funktion "do_execute_java_method_vararg".

Die Nutte hakt dann alle Daten, die von dieser Funktion verarbeitet werden, einschließlich Banküberweisungen, die mit dem Xpresso-Client durchgeführt werden. Der Trojaner analysiert die Übertragungsanforderungsstruktur und ersetzt einige Felder in dieser Anforderung durch andere Werte. Es scheint, dass der Trojaner die ursprüngliche Zielbankkontonummer durch die des Hackers ersetzt.

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	Trojan
Plattform	Win32
Beschreibung	Technische Details Dies ist das Win95 / 98 / ME Trojaner-Programm, das Xpresso Financial Information Desktop angreift (siehe http://www.spxpresso.com). Der Trojaner beabsichtigt, Finanztransaktionen zu modifizieren, wahrscheinlich, um diese Transaktion auf das Bankkonto des Hackers weiterzuleiten. Der Trojaner macht dies, indem er die Java-Laufzeitbibliothek beeinflusst, die vom Xpresso-Client verwendet wird, der in Java geschrieben ist. Der Trojaner wurde nicht in virus-lab getestet, daher können wir keine Weiterleitung von Geldüberweisungen an Hacker oder andere Konten garantieren. Tatsache ist, dass der Trojaner Transaktionen abfängt und Daten in Transaktionssteuerungsblöcken ändert. Der Trojaner wird an Win32 PE EXE-Dateien angehängt. Der Trojaner-Code wird am Ende der PE-EXE-Dateien in virusartiger Weise platziert. Wenn die betroffene Datei ausgeführt wird, erhält der Trojanercode die Kontrolle und installiert die Haupttrojaner-Komponente im System. Das Steuerelement wird dann an die Host-Datei zurückgegeben. Der Trojaner kann andere PE EXE-Dateien nicht selbst beeinflussen. Es wurde eine spezielle "Trojan Trojan" -Komponente (Kommandozeilen-Win32-Anwendung) gefunden, die Trojaner-Code an Opfer-PE-EXE-Dateien auf Anfrage des Benutzers anschloss. Bei der Installation in das System extrahiert der Trojaner seine Code-VxD-Komponente (Haupt-Trojaner-Komponente) und schreibt sie in die neu erstellte MSREBOOT.VXD-Datei in das Windows-Systemverzeichnis. Dieser VxD wird dann im Registrierungsschlüssel "VxD Services" registriert. Dort sind auch mehr Schlüssel angelegt: HKLMSystemCurrentControlSetServicesVxDREBOOT RebootData = [Null-Länge Daten] Start = 00 StaticVxD = "* REBOOT, MSREBOOT.VXD" Der erste Schlüssel gibt das Datum an, an dem sich der Trojaner selbst vom System deinstalliert. Der Trojaner löscht dann seine VXD-Datei mit Nullen und löscht dann diese Datei. Der zweite Schlüssel ist unbekannt. Der dritte Schlüssel ist der Registrierungsschlüssel auto-load, der Windows dazu zwingt, die VXD-Datei zu laden und zu aktivieren, wenn Windows gestartet wird. Wenn die Trojaner-VXD-Datei aktiviert ist, überwacht die Trojaner-Hauptprozedur den Dateieröffnungsprozess und sucht nach der Java-Laufzeitbibliothek JRT3230.DLL. Der Trojaner überspringt dann das Laden dieser Bibliothek, wartet, wenn das Laden beendet ist, und hakt die Java-Funktion "do_execute_java_method_vararg". Die Nutte hakt dann alle Daten, die von dieser Funktion verarbeitet werden, einschließlich Banküberweisungen, die mit dem Xpresso-Client durchgeführt werden. Der Trojaner analysiert die Übertragungsanforderungsstruktur und ersetzt einige Felder in dieser Anforderung durch andere Werte. Es scheint, dass der Trojaner die ursprüngliche Zielbankkontonummer durch die des Hackers ersetzt.
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Trojan.Win32.Angriff

Technische Details