TrojanProxy.Win32.Webber

Jest to ko艅 troja艅ski rozprzestrzeniaj膮cy si臋 za po艣rednictwem poczty elektronicznej, dzia艂aj膮cy w systemach Win32. Instaluje w infekowanym systemie ukryty serwer proxy i wysy艂a do hakera adres IP zaatakowanego komputera wraz z zapisanymi na nim has艂ami. Ponadto szkodnik ma mo偶liwo艣膰 pobierania z okre艣lonych adres贸w URL plik贸w EXE oraz instalowania ich w zainfekowanym systemie.

Wiadomo艣膰 e-mail zawieraj膮ca trojana zawiera za艂膮cznik o nazwie web.da.us.citi.heloc.pif, temat Re: Your credit application oraz nast臋puj膮c膮 tre艣膰:

Dear sir,

Thank you for your online application for a Citibank Home Equity Loan.
In order to be approved for any loan application we pull your Credit Profile and Chexsystems information, which didn't satisfy our minimum needs.
Consequently, we regret to say that we cannot approve you for Citibank Home Equity Loan at this time.

*Attached are copy of your Credit Profile and Your Application that you submitted with us. Please take a close look at it, you will receive hard copy by mail withing next few days.

Instalacja

Gdy u偶ytkownik uruchomi za艂膮cznik zainfekowanej wiadomo艣ci e-mail rozpoczyna si臋 pobieranie i aktywowanie g艂贸wnego modu艂u wykonywalnego konia troja艅skiego, kt贸ry z kolei tworzy pomocniczy plik DLL. Zatem trojan sk艂ada si臋 z nast臋puj膮cych element贸w:

  • za艂膮cznik wiadomo艣ci e-mail pobieraj膮cy kod szkodnika (plik EXE o rozmiarze 5664 bajt贸w),
  • kod szkodnika (plik EXE o rozmiarze 39140 bajt贸w),
  • modu艂 pomocniczy (plik DLL o rozmiarze 5633 bajt贸w).

G艂贸wny modu艂 szkodnika umieszcza w艂asn膮 kopi臋 z losow膮 nazw膮 w folderze systemowym Windows i zapisuje w tym samym miejscu modu艂 DLL (r贸wnie偶 z losow膮 nazw膮).

Trojan nie tworzy kluczy auto-run w rejestrze systemowym i nie modyfikuje plik贸w INI systemy Windows. W celu zautomatyzowania w艂asnej aktywacji trojan modyfikuje nast臋puj膮ce klucze rejestru:

HKCRCLSID
{79FA9088-19CE-715D-D85A-216290C5B738}
InProcServer32 = %nazwa modu艂u DLL trojana%
ThreadingModel = Apartment

HKLMSoftwareMicrosoftWindowsCurrentVersion
ShellServiceObjectDelayLoad
Web Event Logger =
{79FA9088-19CE-715D-D85A-216290C5B738}

W kodzie trojana mo偶na zapisany jest nast臋puj膮cy tekst:

Webber10