Hauptgruppierung: TrojWare
Trojaner sind schädliche Programme, die Aktionen ausführen, die vom Benutzer nicht autorisiert sind: Sie löschen, blockieren, ändern oder kopieren Daten und stören die Leistung von Computern oder Computernetzwerken. Im Gegensatz zu Viren und Würmern können die Bedrohungen, die in diese Kategorie fallen, keine Kopien von sich selbst erstellen oder sich selbst replizieren.Trojaner werden nach ihrer Aktion auf einem infizierten Computer klassifiziert.
Kategorie: Trojan
Ein bösartiges Programm, das entwickelt wurde, um die Aktivitäten des Benutzers elektronisch auszuspionieren (Tastatureingaben abfangen, Screenshots erstellen, eine Liste aktiver Anwendungen aufzeichnen usw.). Die gesammelten Informationen werden auf verschiedene Arten an den Cyberkriminellen gesendet, einschließlich E-Mail, FTP und HTTP (indem Daten in einer Anfrage gesendet werden).Mehr Informationen
Plattform: Win32
Win32 ist eine API auf Windows NT-basierten Betriebssystemen (Windows XP, Windows 7 usw.), die die Ausführung von 32-Bit-Anwendungen unterstützt. Eine der am weitesten verbreiteten Programmierplattformen der Welt.Beschreibung
Technische Details
Dies ist das Win95 / 98 / ME Trojaner-Programm, das Xpresso Financial Information Desktop angreift (siehe http://www.spxpresso.com). Der Trojaner beabsichtigt, Finanztransaktionen zu modifizieren, wahrscheinlich, um diese Transaktion auf das Bankkonto des Hackers weiterzuleiten. Der Trojaner macht dies, indem er die Java-Laufzeitbibliothek beeinflusst, die vom Xpresso-Client verwendet wird, der in Java geschrieben ist.
Der Trojaner wurde nicht in virus-lab getestet, daher können wir keine Weiterleitung von Geldüberweisungen an Hacker oder andere Konten garantieren. Tatsache ist, dass der Trojaner Transaktionen abfängt und Daten in Transaktionssteuerungsblöcken ändert.
Der Trojaner wird an Win32 PE EXE-Dateien angehängt. Der Trojaner-Code wird am Ende der PE-EXE-Dateien in virusartiger Weise platziert. Wenn die betroffene Datei ausgeführt wird, erhält der Trojanercode die Kontrolle und installiert die Haupttrojaner-Komponente im System. Das Steuerelement wird dann an die Host-Datei zurückgegeben.
Der Trojaner kann andere PE EXE-Dateien nicht selbst beeinflussen. Es wurde eine spezielle "Trojan Trojan" -Komponente (Kommandozeilen-Win32-Anwendung) gefunden, die Trojaner-Code an Opfer-PE-EXE-Dateien auf Anfrage des Benutzers anschloss.
Bei der Installation in das System extrahiert der Trojaner seine Code-VxD-Komponente (Haupt-Trojaner-Komponente) und schreibt sie in die neu erstellte MSREBOOT.VXD-Datei in das Windows-Systemverzeichnis. Dieser VxD wird dann im Registrierungsschlüssel "VxD Services" registriert.
Dort sind auch mehr Schlüssel angelegt:
HKLMSystemCurrentControlSetServicesVxDREBOOT
RebootData = [Null-Länge Daten]
Start = 00
StaticVxD = "* REBOOT, MSREBOOT.VXD"
Der erste Schlüssel gibt das Datum an, an dem sich der Trojaner selbst vom System deinstalliert. Der Trojaner löscht dann seine VXD-Datei mit Nullen und löscht dann diese Datei.
Der zweite Schlüssel ist unbekannt.
Der dritte Schlüssel ist der Registrierungsschlüssel auto-load, der Windows dazu zwingt, die VXD-Datei zu laden und zu aktivieren, wenn Windows gestartet wird.
Wenn die Trojaner-VXD-Datei aktiviert ist, überwacht die Trojaner-Hauptprozedur den Dateieröffnungsprozess und sucht nach der Java-Laufzeitbibliothek JRT3230.DLL. Der Trojaner überspringt dann das Laden dieser Bibliothek, wartet, wenn das Laden beendet ist, und hakt die Java-Funktion "do_execute_java_method_vararg".
Die Nutte hakt dann alle Daten, die von dieser Funktion verarbeitet werden, einschließlich Banküberweisungen, die mit dem Xpresso-Client durchgeführt werden. Der Trojaner analysiert die Übertragungsanforderungsstruktur und ersetzt einige Felder in dieser Anforderung durch andere Werte. Es scheint, dass der Trojaner die ursprüngliche Zielbankkontonummer durch die des Hackers ersetzt.
Mehr erfahren
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com