DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Trojan.Win32.Angriff

Kategorie Trojan
Plattform Win32
Beschreibung

Technische Details

Dies ist das Win95 / 98 / ME Trojaner-Programm, das Xpresso Financial Information Desktop angreift (siehe http://www.spxpresso.com). Der Trojaner beabsichtigt, Finanztransaktionen zu modifizieren, wahrscheinlich, um diese Transaktion auf das Bankkonto des Hackers weiterzuleiten. Der Trojaner macht dies, indem er die Java-Laufzeitbibliothek beeinflusst, die vom Xpresso-Client verwendet wird, der in Java geschrieben ist.

Der Trojaner wurde nicht in virus-lab getestet, daher können wir keine Weiterleitung von Geldüberweisungen an Hacker oder andere Konten garantieren. Tatsache ist, dass der Trojaner Transaktionen abfängt und Daten in Transaktionssteuerungsblöcken ändert.

Der Trojaner wird an Win32 PE EXE-Dateien angehängt. Der Trojaner-Code wird am Ende der PE-EXE-Dateien in virusartiger Weise platziert. Wenn die betroffene Datei ausgeführt wird, erhält der Trojanercode die Kontrolle und installiert die Haupttrojaner-Komponente im System. Das Steuerelement wird dann an die Host-Datei zurückgegeben.

Der Trojaner kann andere PE EXE-Dateien nicht selbst beeinflussen. Es wurde eine spezielle "Trojan Trojan" -Komponente (Kommandozeilen-Win32-Anwendung) gefunden, die Trojaner-Code an Opfer-PE-EXE-Dateien auf Anfrage des Benutzers anschloss.

Bei der Installation in das System extrahiert der Trojaner seine Code-VxD-Komponente (Haupt-Trojaner-Komponente) und schreibt sie in die neu erstellte MSREBOOT.VXD-Datei in das Windows-Systemverzeichnis. Dieser VxD wird dann im Registrierungsschlüssel "VxD Services" registriert.

Dort sind auch mehr Schlüssel angelegt:

HKLMSystemCurrentControlSetServicesVxDREBOOT
RebootData = [Null-Länge Daten]
Start = 00
StaticVxD = "* REBOOT, MSREBOOT.VXD"

Der erste Schlüssel gibt das Datum an, an dem sich der Trojaner selbst vom System deinstalliert. Der Trojaner löscht dann seine VXD-Datei mit Nullen und löscht dann diese Datei.

Der zweite Schlüssel ist unbekannt.

Der dritte Schlüssel ist der Registrierungsschlüssel auto-load, der Windows dazu zwingt, die VXD-Datei zu laden und zu aktivieren, wenn Windows gestartet wird.

Wenn die Trojaner-VXD-Datei aktiviert ist, überwacht die Trojaner-Hauptprozedur den Dateieröffnungsprozess und sucht nach der Java-Laufzeitbibliothek JRT3230.DLL. Der Trojaner überspringt dann das Laden dieser Bibliothek, wartet, wenn das Laden beendet ist, und hakt die Java-Funktion "do_execute_java_method_vararg".

Die Nutte hakt dann alle Daten, die von dieser Funktion verarbeitet werden, einschließlich Banküberweisungen, die mit dem Xpresso-Client durchgeführt werden. Der Trojaner analysiert die Übertragungsanforderungsstruktur und ersetzt einige Felder in dieser Anforderung durch andere Werte. Es scheint, dass der Trojaner die ursprüngliche Zielbankkontonummer durch die des Hackers ersetzt.


Link zum Original